Vorige week, hoofdontwikkelaar van Linux-kernel Greg Kroah-Hartman Reclame maken Standaard worden alle Linux-patches die afkomstig zijn van de Universiteit van Minnesota, afgewezen.
De beleidswijziging kwam tot stand toen drie onderzoekers van de Universiteit van Minnesota – Qiushi Wu, Kangjie Lu en Aditya Pakki – een programma begonnen om de weerstand van de Linux-kernelontwikkelaars te testen tegen wat de groep de “toewijding van de hypocriet” noemde.
Linux-kernelgemeenschapstest
Verdrievoudigen Gepland Het betrof eerst het vinden van drie gemakkelijk te repareren bugs met lage prioriteit in de Linux-kernel en ze vervolgens te repareren – maar ze op een manier te repareren die een aanvulling vormt op wat UMN-onderzoekers een “onvolwassen kwetsbaarheid” noemden:
We gebruiken een statische analyse tool om drie “onvolwassen kwetsbaarheden” in Linux te identificeren, dus we ontdekken drie echte kleine bugs die opgelost zouden moeten worden. “Onvolwassen kwetsbaarheden” zijn geen echte kwetsbaarheden omdat één voorwaarde (zoals het gebruik van een bewerkt object) nog steeds ontbreekt. […] We bouwen drie onjuiste of onvolledige kleine correcties om de drie fouten op te lossen. Deze secundaire correcties bieden echter de ontbrekende voorwaarden voor “onvolwassen zwakheden”.
De drie onderzoekers zullen vervolgens de correcties van het Trojaanse paard naar de Linux-kernelmoderators e-mailen om te zien of de moderators het serieuzere probleem van de onderzoekers ontdekten tijdens het oplossen van een eenvoudige bug. Nadat de moderators op de verstrekte correctie hadden gereageerd, wezen UMN-onderzoekers op de fout die hun patch had ingevoerd en zorgden ze voor een “juiste” patch – een die geen nieuw exploiteerbaar geval presenteerde – op zijn plaats.
Lu, Wu en Paki publiceerden hun bevindingen in februari op het 42e IEEE-symposium over beveiliging en privacy.
Eerste reactie
Vorige week, een van de senior Linux-kernelontwikkelaars Greg Crow Hartman achteruitgaan 68 labels geplaatst door mensen met e-mailadressen umn.edu als reactie op de ‘Obligations of Hypocrites’. Naast het terugdraaien van deze huidige 68 correcties, kondigde Kroah-Hartman een beleid aan om toekomstige correcties van iedereen met @umn.edu Titel.
Kroah-Hartman ging verder met het toestaan van uitzonderingen voor dergelijke toekomstige correcties als “je bewijs levert en je kunt dit verifiëren”, maar hij bleef maar vragen: “Echt waar, waarom verspil je je tijd met dit extra werk?”
Het Department of Computer Science and Engineering van de University of Minnesota reageerde op het verbod met een “onmiddellijke schorsing”[ing] Deze onderzoekslijn “belooft de methode van de onderzoekers te onderzoeken – en het proces dat is goedgekeurd.
Excuses worden niet geaccepteerd
Aanstaande zaterdag komt het UMN-onderzoeksteam het spijt me Aan de Linux-gemeenschap via een open brief op de Linux Kernel-mailinglijst. De open brief van ongeveer 800 woorden komt als meer “wacht, je begrijpt het niet” dan als een verontschuldiging:
We willen gewoon dat je weet dat we de Linux-kernelgemeenschap niet opzettelijk schade zullen berokkenen en nooit beveiligingsproblemen zullen introduceren. Ons werk wordt uitgevoerd met de beste bedoelingen en gaat over het vinden en verhelpen van kwetsbaarheden.
Het werk van “de hypocrieten” werd uitgevoerd in augustus 2020. Het was gericht op het verbeteren van de beveiliging van het foutopsporingsproces in Linux. Als onderdeel van het project hebben we mogelijke problemen in het foutopsporingsproces van het Linux-systeem onderzocht, inclusief de oorzaken van de problemen en suggesties om ze te verhelpen.
Kroah-Hartman gaf het bericht zondag toe, maar was duidelijk niet onder de indruk:
Zoals u weet, hebben de Linux Foundation en de Linux Foundation Technical Advisory Board vrijdag een brief naar uw universiteit gestuurd waarin ze de specifieke acties uiteenzetten die moeten plaatsvinden zodat uw groep en uw universiteit kunnen werken om het vertrouwen van de Linux-kernelgemeenschap te herstellen.
Totdat deze maatregelen zijn genomen, hebben we niets anders te bespreken over deze kwestie.
Op dit moment weten we niet welke procedures de Kroah-Hartman en Linux Foundation precies van de groep en haar universiteit eisen.
“Subtiel charmante tv-maven. Unapologetische communicator. Onruststoker. Reiswetenschapper. Wannabe-denker. Muziekfanaat. Amateur-ontdekkingsreiziger.”