University of Minnesota forbudt fra Linux-kerneudvikling 

Greg Kroah-Hartman, hvem er ansvarlig for at vedligeholde den stabile gren af ​​Linux-kernen gjort det kendt Jeg har drukket i flere dage beslutningen om at nægte ændringer fra University of Minnesota til Linux-kernen, og tilbagefør alle tidligere accepterede programrettelser og kontroller dem igen.

Årsagen til blokaden var en forskningsgruppes aktiviteter der undersøger muligheden for at promovere skjulte sårbarheder i koden til open source-projekter, da denne gruppe har sendt programrettelser, der indeholder fejl af forskellige typer.

I betragtning af sammenhængen med brugen af ​​markøren gav det ingen mening, og formålet med patchindsendelsen var at undersøge, om den fejlagtige ændring ville bestå kernen udvikleres gennemgang.

Ud over denne patch, Der har været andre forsøg fra udviklere ved University of Minnesota for at foretage tvivlsomme ændringer i kernen, herunder dem, der er relateret til tilføjelse af skjulte sårbarheder.

Bidragsyderen, der sendte lapperne, forsøgte at retfærdiggøre sig selv afprøvning af en ny statisk analysator, og ændringen blev udarbejdet baseret på testresultaterne på den.

Pero Greg henledte opmærksomheden på, at de foreslåede rettelser ikke er typiske af fejl opdaget af statiske analysatorer og de sendte programrettelser løser ikke noget. Da den pågældende forskergruppe tidligere har forsøgt at introducere løsninger med skjulte sårbarheder, er det klart, at de har fortsat deres eksperimenter i kerneudviklingssamfundet.

Interessant nok har lederen af ​​eksperimentgruppen tidligere været involveret i rettelser for legitime sårbarheder, såsom informationslækage på USB-stakken (CVE-2016-4482) og netværk (CVE-2016-4485).

I en undersøgelse af skjult udbredelse af sårbarheder nævner teamet fra University of Minnesota et eksempel på sårbarheden CVE-2019-12819 forårsaget af en patch, der blev accepteret i kernen i 2014. Løsningen tilføjede et put_device-opkald til blokken for fejlhåndtering i mdio_bus, men fem år senere blev det afsløret, at sådan manipulation ville resultere i brug efter fri adgang til hukommelsesblokken.

På samme tid hævder undersøgelsesforfatterne, at de i deres arbejde opsummerede data om 138 patches, der introducerer fejl, men ikke er relateret til undersøgelsesdeltagerne.

Forsøg på at indsende dine egne fejlrettelser var begrænset til mailkorrespondance og sådanne ændringer nåede ikke frem til Git-begivenhedsstadiet på nogen kernefil (hvis vedligeholderen efter at have sendt en e-mail til programrettelsen fandt plasteret at være normalt, blev du bedt om ikke at medtage ændringen, fordi der er en fejl, hvorefter den korrekte patch blev sendt).

Også at dømme efter aktiviteten hos forfatteren af ​​den kritiserede rettelse har han lappet forskellige kernedelsystemer i lang tid. For eksempel har radeon- og nouveau-drivere for nylig vedtaget ændringer til pm_runtime_put_autosuspend (dev-> dev) blokfejl, det kan føre til brug af en buffer efter frigivelse af tilknyttet hukommelse.

Det nævnes også, at Greg rullede 190 tilknyttede forpligtelser tilbage og startede en ny anmeldelse. Problemet er, at @ umn.edu-bidragsydere ikke kun eksperimenterede med at promovere tvivlsomme patches, de fik også faktiske sårbarheder, og tilbagevendende ændringer kunne føre til tilbagevenden af ​​tidligere faste sikkerhedsproblemer. Nogle vedligeholdere har allerede kontrolleret de ikke foretagne ændringer og fundet ingen problemer, men der var også fejlrettelser.

Institut for Datalogi ved University of Minnesota udsendte en erklæring meddelelse om suspension af efterforskningen på dette område, igangsættelse af validering af de anvendte metoder og gennemførelse af en undersøgelse af, hvordan undersøgelsen blev godkendt. Resultatrapporten deles med samfundet.

Endelig nævner Greg, at han har observeret svarene fra samfundet og også har taget højde for processen med at udforske måder at snyde gennemgangsprocessen på. Efter Gregs opfattelse er det uacceptabelt og uetisk at gennemføre sådanne eksperimenter for at indføre skadelige ændringer.

kilde: https://lkml.org


Vær den første til at kommentere

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.