Echipa kernel Linux respinge scuzele cercetătorilor de la Universitatea din Minnesota

Mărește / Nu mânia pinguinul pentru că are mult timp în memorie și încet să ierte.

Săptămâna trecută Greg Kroah-Hartman, dezvoltator senior de kernel Linux anunț că toate patch-urile Linux de la Universitatea din Minnesota ar fi respinse sumar în mod implicit.

Această schimbare de politică este rezultatul a trei cercetători ai Universității din Minnesota – Qiushi Wu, Kangjie Lu și Aditya Pakki – care s-au angajat într-un program de testare a rezistenței comunității dezvoltatorilor de kernel Linux la grupul numit „Hypocrite Commits”.

Test pentru comunitatea kernel Linux

Trio-ul sistem a implicat mai întâi găsirea a trei bug-uri ușor de rezolvat, cu prioritate redusă în nucleul Linux și apoi remedierea acestora – dar remedierea lor într-un mod care completează ceea ce cercetătorii UMN au numit „vulnerabilitate imatură”:

Folosim un instrument de scanare statică pentru a identifica trei „vulnerabilități imature” în Linux și, ca rezultat, detectăm trei erori minore reale despre care se crede că sunt remediate. „Vulnerabilitățile imature” nu sunt vulnerabilități reale, deoarece o condiție (cum ar fi utilizarea unui obiect eliberat) lipsește întotdeauna […] Construim trei corecții minore incorecte sau incomplete pentru a remedia toate cele trei erori. Cu toate acestea, aceste corecții minore introduc condițiile lipsă ale „vulnerabilităților imature”.

Cei trei cercetători își trimiteau apoi remedierile pentru calul troian către întreținătorii kernel-ului Linux, pentru a vedea dacă întreținătorii au detectat cea mai gravă problemă pe care au introdus-o cercetătorii la remedierea unei erori minore. Odată ce respondenții au răspuns la patch-ul trimis, cercetătorii UMN au raportat eroarea introdusă de patch-ul lor și au venit cu un patch „adecvat” – unul care nu a introdus o stare nou exploatabilă – în locul său.

READ  Expedierea canadiană a vaccinurilor Pfizer întârziată de condițiile de iarnă din Statele Unite

Lu, Wu și Pakki și-au publicat rezultatele în februarie la cel de-al 42-lea simpozion IEEE privind securitatea și confidențialitatea.

Răspuns inițial

Săptămâna trecută Greg Kroah-Hartman, dezvoltator senior de kernel Linux întoarcere 68 de remedieri trimise de persoanele cu adrese de e-mail umn.edu ca răspuns la aceste „comisii hipocrite”. Împreună cu retragerea acestor 68 de patch-uri existente, Kroah-Hartman a anunțat o politică de „respingere implicită” pentru patch-uri viitoare de la oricine are un @umn.edu abordare.

Kroah-Hartman a continuat să permită excepții pentru astfel de remedieri viitoare dacă „oferă dovezi și le puteți verifica”, dar a continuat să întrebe „într-adevăr, de ce să vă pierdeți timpul făcând această muncă suplimentară?”

Departamentul de Informatică și Inginerie de la Universitatea din Minnesota a răspuns interdicției „suspendând imediat”[ing] această linie de cercetare, „promițând să studieze metoda cercetătorilor – și procesul prin care a fost aprobată”.

Scuzele nu sunt acceptate

Sâmbătă, echipa de cercetare UMN scuză către comunitatea Linux printr-o scrisoare deschisă postată pe lista de corespondență a kernel-ului Linux. Scrisoarea deschisă de aproape 800 de cuvinte sună mai mult „stai, nu o primești” decât o scuză:

Vrem doar să știți că nu vom dăuna în mod intenționat comunității kernel-ului Linux și nu vom introduce vulnerabilități de securitate. Treaba noastră a fost realizată cu cele mai bune intenții și este de a găsi și a remedia găuri de securitate.

Lucrarea „ipocritul comite” a fost finalizată în august 2020; a fost menit să îmbunătățească securitatea procesului de corecție în Linux. Ca parte a proiectului, am investigat potențiale probleme legate de procesul de corecție Linux, inclusiv cauzele problemelor și sugestii pentru rezolvarea lor.

Kroah-Hartman a recunoscut scrisoarea duminică, dar a fost în mod clar mai puțin decât impresionat:

După cum știți, Fundația Linux și Comitetul tehnic consultativ al Fundației Linux au trimis vineri o scrisoare către universitatea dvs., prezentând acțiuni specifice care trebuie întreprinse, astfel încât grupul și universitatea dvs. să poată lucra pentru a recâștiga încrederea comunității kernel Linux.

Până la luarea acestor măsuri, nu mai avem nimic de discutat pe această temă.

Nu știm în acest moment ce acțiuni solicită Kroah-Hartman și Linux Foundation grupului și universității sale.

READ  Noua marcă a echipamentului de călătorie „Go” de la Lenovo începe cu mouse-ul de încărcare fără fir

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *