Das Linux-Kernel-Team lehnt die Entschuldigung von Forschern der University of Minnesota ab

By Aurel Southers 3 Jahren ago
Hineinzoomen /. Sei nicht böse auf den Pinguin, er ist lange in Erinnerung und langsam zu vergeben.

Letzte Woche Chefentwickler des Linux-Kernels Greg Kroah-Hartman Werben Standardmäßig werden alle Linux-Patches der University of Minnesota abgelehnt.

Die Richtlinienänderung erfolgte, als drei Forscher der Universität von Minnesota – Qiushi Wu, Kangjie Lu und Aditya Pakki – ein Programm starteten, um den Widerstand der Linux-Kernel-Entwicklergemeinde gegen das zu testen, was die Gruppe „das Engagement des Heuchlers“ nannte.

Linux-Kernel-Community-Test

Verdreifachen Geplant Zunächst mussten drei einfach zu behebende Fehler mit niedriger Priorität im Linux-Kernel gefunden und anschließend behoben werden. Diese wurden jedoch so behoben, dass sie das ergänzen, was UMN-Forscher als „unreife Sicherheitsanfälligkeit“ bezeichneten:

Wir verwenden ein statisches Analysetool, um drei „unreife Schwachstellen“ unter Linux zu identifizieren. Daher entdecken wir drei echte kleinere Fehler, die behoben werden sollten. ‚Unreife Schwachstellen‘ sind keine echten Schwachstellen, da eine Bedingung (z. B. die Verwendung eines bearbeiteten Objekts) noch fehlt […] Wir erstellen drei falsche oder unvollständige kleinere Korrekturen, um die drei Fehler zu beheben. Diese sekundären Korrekturen liefern jedoch die fehlenden Bedingungen für „unreife Schwächen“.

Die Forscher schickten dann die drei Korrekturen von Trojanern per E-Mail an die Moderatoren des Linux-Kernels, um festzustellen, ob die Moderatoren das schwerwiegendere Problem entdeckten, das die Forscher bei der Behebung eines einfachen Fehlers eingeführt hatten. Nachdem die Moderatoren auf die eingereichte Korrektur geantwortet hatten, gaben die UMN-Forscher den Fehler an, den ihr Patch eingegeben hatte, und stellten einen „richtigen“ Patch bereit, der keinen neu ausnutzbaren Fall darstellte.

Siehe auch  Pixel zeigt Drop Drop-Begrüßungsbildschirm direkt nach dem 9to5Google-Update

Luo, Wu und Paki veröffentlichten ihre Ergebnisse im Februar auf dem 42. IEEE-Symposium für Sicherheit und Datenschutz.

Erste Reaktion

Letzte Woche einer der führenden Linux-Kernel-Entwickler Greg Crow Hartman zurückweichen 68 Labels, die von Personen mit E-Mail-Adressen umn.edu als Antwort auf die „Verpflichtungen der Heuchler“ veröffentlicht wurden. Neben der Rückgabe dieser aktuellen 68 Korrekturen hat Kroah-Hartman eine Politik der „hypothetischen Ablehnung“ zukünftiger Korrekturen angekündigt, die von jedermann stammen @umn.edu Titel.

Kroah-Hartman erlaubte weiterhin Ausnahmen für solche zukünftigen Korrekturen, wenn „Sie Beweise vorlegen und dies überprüfen können“, aber er fragte immer wieder: „Wirklich, warum verschwenden Sie Ihre Zeit mit dieser zusätzlichen Arbeit?“

Das Institut für Informatik und Ingenieurwesen der Universität von Minnesota reagierte auf das Verbot mit einer „sofortigen Aussetzung“.[ing] Diese Forschungslinie „verspricht, die Methode der Forscher zu untersuchen – und den Prozess, der genehmigt wurde.

Entschuldigung ist nicht akzeptabel

Diesen Samstag hat das UMN-Forschungsteam Ich entschuldige mich An die Linux-Community über einen offenen Brief an die Linux-Kernel-Mailingliste. Der offene Brief mit ungefähr 800 Wörtern ist mehr „Warte, du verstehst nicht“ als eine Entschuldigung:

Wir möchten nur, dass Sie wissen, dass wir der Linux-Kernel-Community nicht absichtlich Schaden zufügen und niemals Sicherheitslücken einführen. Unsere Arbeit wird mit den besten Absichten durchgeführt und es geht darum, Schwachstellen zu finden und zu beheben.

Die Arbeit der „Heuchler“ wurde im August 2020 durchgeführt. Sie sollte die Sicherheit des Debug-Prozesses unter Linux verbessern. Im Rahmen des Projekts haben wir potenzielle Probleme im Debugging-Prozess des Linux-Systems untersucht, einschließlich der Ursachen der Probleme und Vorschläge zu deren Behebung.

Kroah-Hartman gab die Nachricht am Sonntag zu, war aber deutlich weniger beeindruckt:

Wie Sie wissen, haben die Linux Foundation und das Technical Advisory Board der Linux Foundation am Freitag einen Brief an Ihre Universität geschickt, in dem die spezifischen Maßnahmen aufgeführt sind, die durchgeführt werden müssen, damit Ihre Gruppe und Ihre Universität daran arbeiten können, das Vertrauen der Linux-Kernel-Community wiederherzustellen.

Bis diese Maßnahmen ergriffen sind, haben wir zu diesem Thema nichts anderes zu besprechen.

Wir wissen im Moment nicht genau, welche Verfahren die Kroah-Hartman- und Linux-Stiftung von der Gruppe und ihrer Universität verlangt.

Siehe auch  Phison repliziert die hohen Temperaturen von PCIe Gen 5 NVMe SSDs, bis zu 125 °C für Steuerungs- und aktive Kühlanforderungen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

You may also like

Ankündigung des Lebensendes der Z80-CPU und der Peripheriegeräte

By Aurel Southers 7 Stunden ago

Source kommt mit PlayStation-Emulation in den App Store

By Aurel Southers 15 Stunden ago

Mit VASA-1 von Microsoft kann eine Person mit einem einzigen Bild und einer einzigen Audiospur gefälscht werden

By Aurel Southers 23 Stunden ago

Der erste Nintendo-Emulator, der im App Store erhältlich ist und die Regeländerung von Apple übersteht, spielt DS-, GBA- und N64-Spiele kostenlos ab

By Aurel Southers 2 Tagen ago

Der WayForward-Direktor sagt, Nintendo habe seine Sicht auf die Videospielbranche verändert

By Aurel Southers 2 Tagen ago

Der Trailer zu Hades 2 enthüllt alle sexy Götter

By Aurel Southers 3 Tagen ago