미네소타 대학 팀은 Linux 커널 실험의 동기를 설명했습니다.

미네소타 대학의 연구자 그룹은 최근에 Greg Kroah-Hartman에 의해 변경 수락이 차단 된 공개 사과의 편지를 게시 활동에 대한 이유를 설명합니다.

막힘은 그룹은 약점을 조사하고 들어오는 패치를 검토 할 때숨겨진 취약점이있는 변경의 핵심으로 이동할 가능성을 평가합니다. 그룹 구성원 중 한 명으로부터 무의미한 수정을받은 의심스러운 패치를받은 후 연구원들이 커널 개발자를 다시 실험하려고 시도하고 있다고 가정했습니다.

이러한 실험은 잠재적으로 보안 위험을 초래하고 커미터에게 시간이 걸리기 때문에 변경 수락을 차단하고 검토를 위해 이전에 승인 된 모든 패치를 제출하기로 결정했습니다.

공개 서한에서 그룹 구성원은 자신의 활동이 동기 부여되었다고 말했습니다. 독점적으로 좋은 의도와 검토 프로세스를 개선하려는 열망 약점을 식별하고 제거하는 변경 사항.

이 그룹은 수년 동안 취약성의 출현으로 이어지는 프로세스를 연구 해 왔으며 Linux 커널의 취약성을 식별하고 제거하기 위해 적극적으로 노력하고 있습니다. 새로운 검토를 위해 제출 된 190 개의 패치는 합법적이고 기존 문제를 수정하며 고의적 인 버그 나 숨겨진 취약점을 포함하지 않는다고합니다.

숨겨진 취약점을 홍보하기위한 놀라운 조사는 작년 XNUMX 월에 수행되었으며 XNUMX 개의 버그 패치를 제출하는 것으로 제한되었으며, 그중 어느 것도 커널 코드베이스에 포함되지 않았습니다.

이러한 패치와 관련된 활동은 토론으로 만 제한되었으며 변경 사항이 Git에 추가되기 전에 패치 프로모션이 한 단계에서 중지되었습니다.

세 가지 문제가있는 패치에 대한 코드는 아직 제공되지 않았는데, 초기 검토를 한 사람들의 얼굴이 드러날 것이기 때문입니다 (버그를 인정하지 않은 개발자의 동의를 얻은 후 정보가 공개 될 것입니다).

연구의 주된 출처는 우리 자신의 패치가 아니라 한때 커널에 추가 된 다른 사람들의 패치에 대한 분석이었습니다. 미네소타 대학 팀은 이러한 패치를 추가하는 것과 관련이 없습니다.

총 138 개의 버그 제공 문제 패치가 연구되었으며, 연구 결과가 발표 될 때까지 모든 관련 버그가 연구팀의 참여로 수정되었습니다.

연구원 그들은 실험을 수행하는데 부적절한 방법을 사용한 것을 후회합니다. 실수는 조사가 허가없이 커뮤니티에 알리지 않고 수행되었다는 것입니다. 숨겨진 활동의 이유는 알림이 일반적인 방식이 아닌 패치와 평가에 개별적으로주의를 끌 수 있기 때문에 실험의 순도를 달성하려는 욕구였습니다.

시 거냐 목표는 기본 보안을 개선하는 것이었고 연구원들은 이제 커뮤니티를 기니피그로 사용하는 것이 잘못되고 비 윤리적이라는 것을 깨달았습니다. 동시에 연구원들은 의도적으로 커뮤니티에 해를 끼치 지 않을 것이며 작동중인 커널 코드에 새로운 취약점이 도입되는 것을 허용하지 않을 것이라고 확신합니다.

크래시의 촉매 역할을 한 무의미한 패치는 이전 연구와 관련이 없으며 다른 패치를 추가 한 결과 나타나는 버그를 자동으로 감지하는 도구를 만드는 것을 목표로하는 새로운 프로젝트와 관련이 있습니다.

이 그룹은 이제 개발 단계로 돌아가는 방법을 찾고 있으며 Linux Foundation 및 개발자 커뮤니티와의 관계를 구축하여 커널 보안을 개선하고 더 나은 것을 위해 더 열심히 일하려는 욕구를 표현함으로써 그 가치를 입증 할 계획입니다. .

Greg Kroah-Hartman은 다음과 같이 대답했습니다. 기술 협의회 리눅스 재단이 편지를 보냈습니다 금요일에 미네소타 대학교에 그룹의 신뢰를 회복하기 위해 취해야 할 특정 조치를 설명합니다. 이러한 작업이 완료 될 때까지 아직 논의 할 사항이 없습니다.

출처 : https://l25kml.org


기사의 내용은 우리의 원칙을 준수합니다. 편집 윤리. 오류를보고하려면 여기에.

2 코멘트, 당신의 것을 남겨주세요

코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자 : Miguel Ángel Gatón
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.

  1.   맥아

    나에게 다음과 같이 들린다.
    어서, 우리는 당신이 우리를 잡았다는 것을 압니다. 하지만 빌어 먹을 원해! 준비한 패치 20 개를 추가 할 수 있습니까?»

    이 사람들은 머리가 많습니다.

  2.   그레고리오 로스

    정치적으로 올바른 변명이지만 ... 더 이상 몰래 들어 가지 않습니다.