Das Linux-Kernel-Team lehnt die Entschuldigung von Forschern der University of Minnesota ab

Hineinzoomen /. Sei nicht böse auf den Pinguin, er ist lange in Erinnerung und langsam zu vergeben.

Letzte Woche Chefentwickler des Linux-Kernels Greg Kroah-Hartman Werben Standardmäßig werden alle Linux-Patches der University of Minnesota abgelehnt.

Die Richtlinienänderung erfolgte, als drei Forscher der Universität von Minnesota – Qiushi Wu, Kangjie Lu und Aditya Pakki – ein Programm starteten, um den Widerstand der Linux-Kernel-Entwicklergemeinde gegen das zu testen, was die Gruppe “das Engagement des Heuchlers” nannte.

Linux-Kernel-Community-Test

Verdreifachen Geplant Zunächst mussten drei einfach zu behebende Fehler mit niedriger Priorität im Linux-Kernel gefunden und anschließend behoben werden. Diese wurden jedoch so behoben, dass sie das ergänzen, was UMN-Forscher als “unreife Sicherheitsanfälligkeit” bezeichneten:

Wir verwenden ein statisches Analysetool, um drei “unreife Schwachstellen” unter Linux zu identifizieren. Daher entdecken wir drei echte kleinere Fehler, die behoben werden sollten. ‘Unreife Schwachstellen’ sind keine echten Schwachstellen, da eine Bedingung (z. B. die Verwendung eines bearbeiteten Objekts) noch fehlt […] Wir erstellen drei falsche oder unvollständige kleinere Korrekturen, um die drei Fehler zu beheben. Diese sekundären Korrekturen liefern jedoch die fehlenden Bedingungen für “unreife Schwächen”.

Die Forscher schickten dann die drei Korrekturen von Trojanern per E-Mail an die Moderatoren des Linux-Kernels, um festzustellen, ob die Moderatoren das schwerwiegendere Problem entdeckten, das die Forscher bei der Behebung eines einfachen Fehlers eingeführt hatten. Nachdem die Moderatoren auf die eingereichte Korrektur geantwortet hatten, gaben die UMN-Forscher den Fehler an, den ihr Patch eingegeben hatte, und stellten einen “richtigen” Patch bereit, der keinen neu ausnutzbaren Fall darstellte.

Luo, Wu und Paki veröffentlichten ihre Ergebnisse im Februar auf dem 42. IEEE-Symposium für Sicherheit und Datenschutz.

READ  KLab kündigt offiziell lizenzierte Touhou Project Shoot 'em für iOS und Android an

Erste Reaktion

Letzte Woche einer der führenden Linux-Kernel-Entwickler Greg Crow Hartman zurückweichen 68 Labels, die von Personen mit E-Mail-Adressen umn.edu als Antwort auf die “Verpflichtungen der Heuchler” veröffentlicht wurden. Neben der Rückgabe dieser aktuellen 68 Korrekturen hat Kroah-Hartman eine Politik der “hypothetischen Ablehnung” zukünftiger Korrekturen angekündigt, die von jedermann stammen @umn.edu Titel.

Kroah-Hartman erlaubte weiterhin Ausnahmen für solche zukünftigen Korrekturen, wenn “Sie Beweise vorlegen und dies überprüfen können”, aber er fragte immer wieder: “Wirklich, warum verschwenden Sie Ihre Zeit mit dieser zusätzlichen Arbeit?”

Das Institut für Informatik und Ingenieurwesen der Universität von Minnesota reagierte auf das Verbot mit einer “sofortigen Aussetzung”.[ing] Diese Forschungslinie “verspricht, die Methode der Forscher zu untersuchen – und den Prozess, der genehmigt wurde.

Entschuldigung ist nicht akzeptabel

Diesen Samstag hat das UMN-Forschungsteam Ich entschuldige mich An die Linux-Community über einen offenen Brief an die Linux-Kernel-Mailingliste. Der offene Brief mit ungefähr 800 Wörtern ist mehr “Warte, du verstehst nicht” als eine Entschuldigung:

Wir möchten nur, dass Sie wissen, dass wir der Linux-Kernel-Community nicht absichtlich Schaden zufügen und niemals Sicherheitslücken einführen. Unsere Arbeit wird mit den besten Absichten durchgeführt und es geht darum, Schwachstellen zu finden und zu beheben.

Die Arbeit der “Heuchler” wurde im August 2020 durchgeführt. Sie sollte die Sicherheit des Debug-Prozesses unter Linux verbessern. Im Rahmen des Projekts haben wir potenzielle Probleme im Debugging-Prozess des Linux-Systems untersucht, einschließlich der Ursachen der Probleme und Vorschläge zu deren Behebung.

Kroah-Hartman gab die Nachricht am Sonntag zu, war aber deutlich weniger beeindruckt:

Wie Sie wissen, haben die Linux Foundation und das Technical Advisory Board der Linux Foundation am Freitag einen Brief an Ihre Universität geschickt, in dem die spezifischen Maßnahmen aufgeführt sind, die durchgeführt werden müssen, damit Ihre Gruppe und Ihre Universität daran arbeiten können, das Vertrauen der Linux-Kernel-Community wiederherzustellen.

Bis diese Maßnahmen ergriffen sind, haben wir zu diesem Thema nichts anderes zu besprechen.

Wir wissen im Moment nicht genau, welche Verfahren die Kroah-Hartman- und Linux-Stiftung von der Gruppe und ihrer Universität verlangt.

READ  Google gibt neuen Besitzern von Pixelgeräten mehr Kontrolle über Night Sight

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.