A Minnesotai Egyetem csapata elmagyarázta a Linux kernellel való kísérletezés motivációját

A Minnesotai Egyetem kutatóinak egy csoportja, akinek a változtatások elfogadását nemrégiben megakadályozta Greg Kroah-Hartman, nyílt bocsánatkérő levelet tett közzé és elmagyarázza tevékenységük okait.

Az elzáródás annak volt köszönhető a csoport gyengeségeket vizsgált a beérkező javítások áttekintésekors értékelje annak lehetőségét, hogy rejtett sérülékenységekkel jussunk el a változások lényegéhez. Miután megkérdőjelezhető javítást kapott a csoport egyik tagjától, értelmetlen javítással, feltételezték, hogy a kutatók ismét kísérletezni próbálnak a rendszermag-fejlesztőkkel.

Mivel az ilyen kísérletek potenciálisan biztonsági kockázatot jelentenek, és időbe telnek az elkövetők számára, úgy döntöttek, hogy blokkolják a módosítások elfogadását, és az összes korábban elfogadott javítást felülvizsgálatra bocsátják.

Nyílt levelében a csoport tagjai kijelentették, hogy tevékenységük motivált volt kizárólagosan jó szándékból és a felülvizsgálati folyamat javításának vágyából a gyengeségeket azonosító és kiküszöbölő változások.

A csoport évek óta tanulmányozza a sebezhetőségek megjelenéséhez vezető folyamatokat, és aktívan dolgozik a Linux kern biztonsági réseinek azonosításán és megszüntetésén. Az új felülvizsgálatra benyújtott 190 javítás állítólag jogszerű, megoldja a meglévő problémákat, és nem tartalmaz szándékos hibákat vagy rejtett sebezhetőségeket.

A rejtett sebezhetőségek elősegítésére riasztó vizsgálatot tavaly augusztusban hajtottak végre, és három hibajavítás beküldésére szorítkozott, amelyek közül egyik sem került be a kernel kódbázisába.

Ezekkel a javításokkal kapcsolatos tevékenység csak a megbeszélésekre korlátozódott, és a javítások promóciója egy szakaszban leállt, mielőtt a változtatásokat hozzáadták a Githez.

A három problémás javítás kódját még meg kell adni, mivel ez feltárja azok arcát, akik elvégezték az első felülvizsgálatot (az információk a fejlesztők hozzájárulásának megszerzését követően derülnek ki, akik nem ismerték el a hibákat).

A kutatás legfőbb forrása nem a saját javításaink voltak, hanem mások javításainak elemzése, amelyeket egykor a kernelhez adtak a később megjelenő sebezhetőségek miatt. A Minnesotai Egyetem csapatának semmi köze ezeknek a javításoknak a hozzáadásához.

Összesen 138 hibajavító problémát javítottak, és a tanulmány eredményeinek közzétételéig minden kapcsolódó hibát kijavítottak, még a kutatócsoport bevonásával is.

A kutatók sajnálják, hogy nem megfelelő módszert alkalmaztak a kísérlet végrehajtására. A hiba az volt, hogy a nyomozást engedély nélkül és a közösség értesítése nélkül hajtották végre. A rejtett tevékenység oka a kísérlet tisztaságának elérése volt, mivel az értesítés külön-külön, nem általánosan, a patchekre és azok értékelésére hívhatta fel a figyelmet.

míg a cél az alapvető biztonság javítása volt, A kutatók most rájöttek, hogy a közösség tengerimalacként való használata helytelen és etikátlan. Ugyanakkor a kutatók biztosítják, hogy soha nem szándékosan károsítanák a közösséget, és nem engednék új biztonsági rések bevezetését a működő kernelkódban.

Ami az értelmetlen javítást illeti, amely katalizátorként szolgált az összeomláshoz, az nem kapcsolódik a korábbi kutatásokhoz, és egy új projekthez kapcsolódik, amelynek célja olyan eszközök létrehozása a hibák javításához, amelyek más javítások hozzáadása eredményeként jelennek meg.

A csoport most megpróbálja megtalálni a fejlesztésbe való visszatérés módjait, és meg akarja erősíteni kapcsolatát a Linux Alapítvánnyal és a fejlesztői közösséggel, bizonyítva ezzel értékét a kernel biztonságának javításában és kifejezve azon vágyat, hogy többet dolgozzanak a jobbak érdekében. .

Greg Kroah-Hartman ezt válaszolta a. technikai tanácsa A Linux Foundation levelet küldött pénteken a Minnesotai Egyetemre a csoportba vetett bizalom helyreállítása érdekében megteendő konkrét intézkedések leírása. Amíg ezek a műveletek nem fejeződnek be, egyelőre nincs miről tárgyalni.

forrás: https://l25kml.org