Ryhmä tutkijoita Minnesotan yliopistosta, jonka Greg Kroah-Hartman esti hiljattain muutosten hyväksymisen, lähetti avoimen anteeksipyyntökirjeen ja selittää syyt heidän toimintaansa.
Tukos johtui ryhmä tutki heikkouksia kun tarkastelet saapuvia korjaustiedostojas ja arvioi mahdollisuus siirtyä muutosten ytimeen piilotetuilla haavoittuvuuksilla. Saatuaan kyseenalaisen korjaustiedoston yhdeltä ryhmän jäseneltä järjettömällä ratkaisulla oletettiin, että tutkijat yrittävät jälleen kokeilla ytimen kehittäjiä.
Koska tällaiset kokeet saattavat aiheuttaa turvallisuusriskin ja vievät aikaa sitoutuneille, päätettiin estää muutosten hyväksyminen ja lähettää kaikki aiemmin hyväksytyt korjaustiedostot tarkistettaviksi.
Avoimessa kirjeessäsi ryhmän jäsenet totesivat, että heidän toimintansa oli motivoitunutta yksinomaan hyvien aikomusten ja halun parantaa tarkistusprosessia heikkouksien tunnistaminen ja poistaminen.
Ryhmä on tutkinut prosesseja, jotka johtavat haavoittuvuuksien syntymiseen monien vuosien ajan, ja pyrkii aktiivisesti tunnistamaan ja poistamaan haavoittuvuudet Linux-ytimessä. Uuteen tarkistukseen lähetettyjen 190 korjaustiedoston sanotaan olevan laillisia, korjaavia olemassa olevia ongelmia ja sisältävät tahallisia virheitä tai piilotettuja haavoittuvuuksia.
Hälyttävä tutkimus piilotettujen haavoittuvuuksien edistämiseksi tapahtui viime vuoden elokuussa, ja se rajoittui kolmen virhemerkin lähettämiseen, joista yksikään ei päässyt ytimen kooditietokantaan.
Näihin korjaustiedostoihin liittyvä toiminta rajoittui vain keskusteluun, ja korjaustiedostojen markkinointi lopetettiin yhdessä vaiheessa ennen muutosten lisäämistä Gitiin.
Kolmen ongelmallisen korjaustiedoston koodia ei ole vielä toimitettu, koska tämä paljastaa alkuperäisen tarkistuksen suorittaneiden kasvot (tiedot paljastetaan saatuaan suostumuksen kehittäjiltä, jotka eivät tunnustaneet virheitä).
Tärkein tutkimuksen lähde eivät olleet omat korjaustiedostomme, vaan muiden ihmisten korjaustiedostojen analysointi, jotka lisättiin ytimeen myöhemmin ilmenevien haavoittuvuuksien vuoksi. Minnesotan yliopiston tiimillä ei ole mitään tekemistä näiden korjaustiedostojen lisäämisen kanssa.
Tutkittiin yhteensä 138 virheen antavaa ongelmakorjausta, ja kun tutkimustulokset julkaistiin, kaikki siihen liittyvät virheet oli korjattu, jopa tutkimusryhmän mukana.
Tutkijat he pahoittelevat käyttäneensä epäasianmukaista menetelmää kokeen suorittamiseen. Virhe oli se, että tutkimus suoritettiin ilman lupaa ja ilmoittamatta siitä yhteisölle. Syy piilotettuun toimintaan oli halu saavuttaa kokeen puhtaus, koska ilmoitus voi kiinnittää huomion korjaustiedostoihin ja niiden arviointiin, ei yleisesti.
kun taas tavoitteena oli parantaa perusturvaa, Tutkijat huomasivat nyt, että yhteisön käyttö marsuna oli väärin ja epäeettistä. Samalla tutkijat vakuuttavat, etteivät ne koskaan vahingoita yhteisöä tarkoituksellisesti eivätkä salli uusien haavoittuvuuksien tuomista toimivaan ytinkoodiin.
Mitä tulee järjettömään korjaustiedostoon, joka toimi kaatumisen katalysaattorina, se ei liity aiempaan tutkimukseen ja liittyy uuteen projektiin, jonka tarkoituksena on luoda työkaluja vikojen automaattiseen havaitsemiseen, jotka ilmenevät muiden korjaustiedostojen lisäämisen seurauksena.
Ryhmä yrittää nyt löytää tapoja palata kehitykseen ja aikoo luoda suhteensa Linux-säätiöön ja kehittäjäyhteisöön todistamalla arvonsa ytimen turvallisuuden parantamisessa ja ilmaisemalla halun työskennellä kovemmin parempaan suuntaan. .
Greg Kroah-Hartman vastasi siihen - tekninen neuvosto Linux Foundation lähetti kirjeen Minnesotan yliopistoon perjantaina kuvaamalla erityisiä toimia luottamuksen palauttamiseksi ryhmään. Ennen kuin nämä toimet on saatu päätökseen, ei ole vielä mitään keskusteltavaa.
lähde: https://l25kml.org
Kuulostaa minulle:
Tule, tiedämme, että olet saanut meidät kiinni. Mutta hitto se on halunnut! Voitteko antaa meidän laittaa vielä 20 laastaria, jotka olimme valmistaneet? "
Näillä ihmisillä on paljon päitä.
Poliittisesti oikea tekosyy, mutta ... ei enää toimi.