미네소타 대학 팀은 Linux 커널 실험의 동기를 설명했습니다.

미네소타 대학의 연구자 그룹은 최근에 Greg Kroah-Hartman에 의해 변경 수락이 차단 된 공개 사과의 편지를 게시 활동에 대한 이유를 설명합니다.

막힘은 그룹은 약점을 조사하고 들어오는 패치를 검토 할 때숨겨진 취약점이있는 변경의 핵심으로 이동할 가능성을 평가합니다. 그룹 구성원 중 한 명으로부터 무의미한 수정을받은 의심스러운 패치를받은 후 연구원들이 커널 개발자를 다시 실험하려고 시도하고 있다고 가정했습니다.

이러한 실험은 잠재적으로 보안 위험을 초래하고 커미터에게 시간이 걸리기 때문에 변경 수락을 차단하고 검토를 위해 이전에 승인 된 모든 패치를 제출하기로 결정했습니다.

공개 서한에서 그룹 구성원은 자신의 활동이 동기 부여되었다고 말했습니다. 독점적으로 좋은 의도와 검토 프로세스를 개선하려는 열망 약점을 식별하고 제거하는 변경 사항.

이 그룹은 수년 동안 취약성의 출현으로 이어지는 프로세스를 연구 해 왔으며 Linux 커널의 취약성을 식별하고 제거하기 위해 적극적으로 노력하고 있습니다. 새로운 검토를 위해 제출 된 190 개의 패치는 합법적이고 기존 문제를 수정하며 고의적 인 버그 나 숨겨진 취약점을 포함하지 않는다고합니다.

숨겨진 취약점을 홍보하기위한 놀라운 조사는 작년 XNUMX 월에 수행되었으며 XNUMX 개의 버그 패치를 제출하는 것으로 제한되었으며, 그중 어느 것도 커널 코드베이스에 포함되지 않았습니다.

이러한 패치와 관련된 활동은 토론으로 만 제한되었으며 변경 사항이 Git에 추가되기 전에 패치 프로모션이 한 단계에서 중지되었습니다.

세 가지 문제가있는 패치에 대한 코드는 아직 제공되지 않았는데, 초기 검토를 한 사람들의 얼굴이 드러날 것이기 때문입니다 (버그를 인정하지 않은 개발자의 동의를 얻은 후 정보가 공개 될 것입니다).

연구의 주된 출처는 우리 자신의 패치가 아니라 한때 커널에 추가 된 다른 사람들의 패치에 대한 분석이었습니다. 미네소타 대학 팀은 이러한 패치를 추가하는 것과 관련이 없습니다.

총 138 개의 버그 제공 문제 패치가 연구되었으며, 연구 결과가 발표 될 때까지 모든 관련 버그가 연구팀의 참여로 수정되었습니다.

연구원 그들은 실험을 수행하는데 부적절한 방법을 사용한 것을 후회합니다. 실수는 조사가 허가없이 커뮤니티에 알리지 않고 수행되었다는 것입니다. 숨겨진 활동의 이유는 알림이 일반적인 방식이 아닌 패치와 평가에 개별적으로주의를 끌 수 있기 때문에 실험의 순도를 달성하려는 욕구였습니다.

시 거냐 목표는 기본 보안을 개선하는 것이었고 연구원들은 이제 커뮤니티를 기니피그로 사용하는 것이 잘못되고 비 윤리적이라는 것을 깨달았습니다. 동시에 연구원들은 의도적으로 커뮤니티에 해를 끼치 지 않을 것이며 작동중인 커널 코드에 새로운 취약점이 도입되는 것을 허용하지 않을 것이라고 확신합니다.

크래시의 촉매 역할을 한 무의미한 패치는 이전 연구와 관련이 없으며 다른 패치를 추가 한 결과 나타나는 버그를 자동으로 감지하는 도구를 만드는 것을 목표로하는 새로운 프로젝트와 관련이 있습니다.

이 그룹은 이제 개발 단계로 돌아가는 방법을 찾고 있으며 Linux Foundation 및 개발자 커뮤니티와의 관계를 구축하여 커널 보안을 개선하고 더 나은 것을 위해 더 열심히 일하려는 욕구를 표현함으로써 그 가치를 입증 할 계획입니다. .

Greg Kroah-Hartman은 다음과 같이 대답했습니다. 기술 협의회 리눅스 재단이 편지를 보냈습니다 금요일에 미네소타 대학교에 그룹의 신뢰를 회복하기 위해 취해야 할 특정 조치를 설명합니다. 이러한 작업이 완료 될 때까지 아직 논의 할 사항이 없습니다.

출처 : https://l25kml.org