ミネソタ大学のチームは、Linuxカーネルを実験する動機について説明しました

ミネソタ大学の研究者グループ、 最近、変更の受け入れがGregKroah-Hartmanによってブロックされました。 公開謝罪の手紙を投稿しました そして彼らの活動の理由を説明します。

閉塞は原因でした グループは弱点を調査していました 着信パッチを確認するときsそして、隠れた脆弱性を伴う変更の核心に行く可能性を評価します。 グループメンバーのXNUMX人から無意味な解決策で疑わしいパッチを受け取った後、研究者は再びカーネル開発者と実験しようとしていると想定されました。

このような実験はセキュリティリスクをもたらす可能性があり、コミッターに時間がかかるため、変更の受け入れをブロックし、以前に受け入れたすべてのパッチをレビューのために送信することが決定されました。

あなたの公開書簡では、 グループのメンバーは、彼らの活動が動機付けられたと述べた 専ら 善意とレビュープロセスを改善したいという願望から 弱点を特定して排除する変更の

このグループは、脆弱性の出現につながるプロセスを長年研究しており、Linuxカーネルの脆弱性を特定して排除するために積極的に取り組んでいます。 新しいレビューのために提出された190のパッチは、正当であり、既存の問題を修正し、意図的なバグや隠れた脆弱性を含んでいないと言われています。

隠れた脆弱性を促進するための驚くべき調査は昨年XNUMX月に行われ、XNUMXつのバグパッチの出荷に限定されましたが、いずれもカーネルコードベースには到達しませんでした。

これらのパッチに関連するアクティビティはディスカッションのみに限定され、パッチのプロモーションは、変更がGitに追加される前のある段階で停止されました。

問題のあるXNUMXつのパッチのコードはまだ提供されていません。これにより、最初のレビューを行った人の顔が明らかになります(情報は、バグを認めなかった開発者の同意を得た後に明らかになります)。

調査の主な情報源は、私たち自身のパッチではなく、脆弱性がその後出現したためにカーネルに追加された他の人のパッチの分析でした。 ミネソタ大学のチームは、これらのパッチの追加とは何の関係もありません。

合計138のバグを与える問題のパッチが調査され、調査結果が公開された時点で、調査チームの関与があっても、関連するすべてのバグが修正されていました。

捜査官 彼らは実験を行うために不適切な方法を使用したことを後悔している。 間違いは、調査が許可なく、コミュニティに通知せずに実行されたということでした。 通知がパッチとその評価に個別に注意を引く可能性があるため、一般的な方法ではなく、実験の純粋さを達成したいという願望が隠された活動の理由でした。

Siのビエン 目標は、基本的なセキュリティを向上させることでした。 研究者たちは、コミュニティをモルモットとして使用することは間違っていて非倫理的であることに気づきました。 同時に、研究者は、コミュニティに故意に害を及ぼすことは決してなく、動作中のカーネルコードに新しい脆弱性を導入することを許可しないことを保証します。

クラッシュのきっかけとなった無意味なパッチについては、これまでの研究とは無関係であり、他のパッチを追加した結果として発生するバグを自動検出するためのツールを作成することを目的とした新しいプロジェクトに関連しています。

このグループは現在、開発に戻る方法を模索しており、Linux Foundationおよび開発者コミュニティとの関係を築き、カーネルセキュリティの向上にその価値を証明し、より良いもののために一生懸命働きたいという願望を表明する予定です。 。

グレッグクローハートマンはそれを答えた の技術評議会 LinuxFoundationが手紙を送った 金曜日にミネソタ大学へ グループへの信頼を回復するために取るべき具体的な行動を説明する。 これらのアクションが完了するまで、まだ議論することはありません。

出典 https://lkml.org


記事の内容は、次の原則に準拠しています。 編集倫理。 エラーを報告するには、 ここで.

2コメント、あなたのコメントを残してください

コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:MiguelÁngelGatón
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。

  1.   McA

    私には次のように聞こえます:
    さあ、私たちはあなたが私たちを捕まえたことを知っています。 しかし、くそーそれは望んでいた! 用意したパッチをさらに20個入れてもらえますか?」

    これらの人々はたくさんの頭を持っています。

  2.   グレゴリーロス

    政治的に正しい言い訳ですが...もう潜入しません。