Vorige week, hoofdontwikkelaar van Linux-kernel Greg Kroah-Hartman Reclame maken Standaard worden alle Linux-patches die afkomstig zijn van de Universiteit van Minnesota, afgewezen.
De beleidswijziging kwam tot stand toen drie onderzoekers van de Universiteit van Minnesota – Qiushi Wu, Kangjie Lu en Aditya Pakki – een programma begonnen om de weerstand van de Linux-kernelontwikkelaars te testen tegen wat de groep de “toewijding van de hypocriet” noemde.
Linux-kernelgemeenschapstest
Verdrievoudigen Gepland Het betrof eerst het vinden van drie gemakkelijk te repareren bugs met lage prioriteit in de Linux-kernel en ze vervolgens te repareren – maar ze op een manier te repareren die een aanvulling vormt op wat UMN-onderzoekers een “onvolwassen kwetsbaarheid” noemden:
We gebruiken een statische analyse tool om drie “onvolwassen kwetsbaarheden” in Linux te identificeren, dus we ontdekken drie echte kleine bugs die opgelost zouden moeten worden. ‘Onvolwassen kwetsbaarheden’ zijn geen echte kwetsbaarheden omdat één voorwaarde (zoals het gebruik van een bewerkt object) nog ontbreekt […] We bouwen drie onjuiste of onvolledige kleine correcties om de drie fouten op te lossen. Maar deze secundaire correcties bieden de ontbrekende voorwaarden voor “onvolwassen kwetsbaarheden”.
De onderzoekers mailden vervolgens de drie correcties van Trojaanse paarden naar de moderators van de Linux-kernel, om te zien of de moderators het serieuzere probleem ontdekten dat de onderzoekers introduceerden bij het oplossen van een simpele bug. Nadat de moderators op de verstrekte correctie hadden gereageerd, wezen UMN-onderzoekers op de fout die hun patch had ingevoerd en zorgden ze voor een “juiste” patch – een die geen nieuw exploiteerbaar geval presenteerde – op zijn plaats.
Lu Woo Woo en Baki publiceerden hun bevindingen in februari op het 42e IEEE-symposium over beveiliging en privacy.
Eerste reactie
Vorige week, een van de senior Linux-kernelontwikkelaars Greg Crow Hartman achteruitgaan 68 labels geplaatst door mensen met e-mailadressen umn.edu als reactie op de ‘Obligations of Hypocrites’. Naast het terugdraaien van deze huidige 68 correcties, kondigde Kroah-Hartman een beleid aan om toekomstige correcties van iedereen met @umn.edu Titel.
Kroah-Hartman ging verder met het toestaan van uitzonderingen voor dergelijke toekomstige correcties als “je bewijs levert en je kunt dit verifiëren”, maar hij bleef maar vragen: “Echt waar, waarom verspil je je tijd met dit extra werk?”
Het Department of Computer Science and Engineering van de University of Minnesota reageerde op het verbod met een “onmiddellijke schorsing”[ing] Deze onderzoekslijn “belooft de methode van de onderzoekers te onderzoeken – en het proces dat is goedgekeurd.
Excuses worden niet geaccepteerd
Aanstaande zaterdag komt het UMN-onderzoeksteam het spijt me Aan de Linux-gemeenschap via een open brief op de Linux Kernel-mailinglijst. De open brief van ongeveer 800 woorden komt als meer “wacht, je begrijpt het niet” dan als een verontschuldiging:
We willen gewoon dat je weet dat we de Linux-kernelgemeenschap niet opzettelijk schade zullen berokkenen en nooit beveiligingsproblemen zullen introduceren. Ons werk wordt uitgevoerd met de beste bedoelingen en gaat over het vinden en verhelpen van kwetsbaarheden.
Het werk van “de hypocrieten” werd uitgevoerd in augustus 2020. Het was gericht op het verbeteren van de beveiliging van het foutopsporingsproces in Linux. Als onderdeel van het project hebben we mogelijke problemen in het foutopsporingsproces van het Linux-systeem onderzocht, inclusief de oorzaken van de problemen en suggesties om ze te verhelpen.
Kroah-Hartman gaf het bericht zondag toe, maar was duidelijk niet onder de indruk:
Zoals u weet, hebben de Linux Foundation en de Linux Foundation Technical Advisory Board vrijdag een brief naar uw universiteit gestuurd waarin ze de specifieke acties uiteenzetten die moeten plaatsvinden zodat uw groep en uw universiteit kunnen werken om het vertrouwen van de Linux-kernelgemeenschap te herstellen.
Totdat deze maatregelen zijn genomen, hebben we niets anders te bespreken over deze kwestie.
Op dit moment weten we niet wat precies de procedures zijn die de Kroah-Hartman en Linux Foundation van de groep en haar universiteit eisen.
‘Reader. Furious humble travel enthusiast. Extreme food scientist. Writer. Communicator.’
