Teamet från University of Minnesota förklarade motivationen för att experimentera med Linux-kärnan

En grupp forskare från University of Minnesota, vars acceptans av förändringar nyligen blockerades av Greg Kroah-Hartman, publicerade ett öppet ursäktsbrev och förklarar orsakerna till deras aktiviteter.

Blockeringen berodde på gruppen undersökte svagheter när du granskar inkommande korrigeringars och utvärdera möjligheten att gå till kärnan i förändringarna med dolda sårbarheter. Efter att ha fått en tvivelaktig korrigering från en av gruppmedlemmarna med en meningslös fix antogs att forskare åter försöker experimentera med kärnutvecklare.

Eftersom sådana experiment potentiellt utgör en säkerhetsrisk och tar tid för åtagare beslutades att blockera godkännande av ändringar och skicka in alla tidigare godkända korrigeringar för granskning.

I ditt öppna brev, gruppmedlemmar uppgav att deras aktiviteter var motiverade uteslutande av goda avsikter och en önskan att förbättra granskningsprocessen förändringar som identifierar och eliminerar svagheter.

Gruppen har studerat de processer som leder till uppkomsten av sårbarheter i många år och arbetar aktivt för att identifiera och eliminera sårbarheter i Linux-kärnan. De 190 korrigeringarna som skickats in för en ny granskning sägs vara legitima, lösa befintliga problem och innehåller inga avsiktliga buggar eller dolda sårbarheter.

Den alarmerande utredningen för att främja dolda sårbarheter genomfördes i augusti förra året och begränsade sig till att skicka in tre felkorrigeringar, varav ingen gjorde det till kärnkodbasen.

Aktivitet relaterad till dessa korrigeringsfiler var begränsad till enbart diskussion och lappkampanjen stoppades i ett skede innan ändringarna lades till Git.

Koden för de tre problematiska korrigeringsfilerna har ännu inte tillhandahållits, eftersom detta kommer att avslöja ansikten för dem som gjorde den första granskningen (informationen kommer att avslöjas efter att ha fått samtycke från utvecklarna som inte bekräftade felen).

Den huvudsakliga källan till forskning var inte våra egna lappar, utan analys av andras fläckar som en gång lades till kärnan på grund av sårbarheter som därefter uppstod. University of Minnesota team har inget att göra med att lägga till dessa korrigeringar.

Totalt 138 bugggivande problemkorrigeringar studerades, och när studieresultaten publicerades hade alla relaterade buggar fixats, även med forskargruppens inblandning.

Forskarna de ångrar att de har använt en olämplig metod för att genomföra experimentet. Felet var att utredningen genomfördes utan tillstånd och utan att meddela samhället. Anledningen till den dolda aktiviteten var önskan att uppnå renheten i experimentet, eftersom meddelandet kunde fästa uppmärksamhet separat på lapparna och deras utvärdering, inte på ett allmänt sätt.

målet var att förbättra grundläggande säkerhet, Forskare insåg nu att det var fel och oetiskt att använda samhället som marsvin. Samtidigt försäkrar forskarna att de aldrig medvetet skulle skada samhället och inte tillåter införandet av nya sårbarheter i den fungerande kärnkoden.

När det gäller den meningslösa plåstret som fungerade som en katalysator för kraschen är den inte relaterad till tidigare forskning och är relaterad till ett nytt projekt som syftar till att skapa verktyg för automatiserad detektering av buggar som visas som ett resultat av att lägga till andra lappar.

Gruppen försöker nu hitta sätt att komma tillbaka till utveckling och avser att knyta sitt förhållande till Linux Foundation och utvecklargemenskapen, bevisa dess värde för att förbättra kärnsäkerheten och uttrycka en önskan att arbeta hårdare till det bättre. .

Greg Kroah-Hartman svarade det tekniska rådet för Linux Foundation skickade ett brev till University of Minnesota på fredag beskriver de specifika åtgärder som ska vidtas för att återställa förtroendet för gruppen. Innan dessa åtgärder är slutförda finns det inget att diskutera ännu.

Fuente: https://l25kml.org


Innehållet i artikeln följer våra principer om redaktionell etik. Klicka på för att rapportera ett fel här.

2 kommentarer, lämna din

Lämna din kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *

*

*

  1. Ansvarig för uppgifterna: Miguel Ángel Gatón
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.

  1.   McA sade

    Låter för mig som:
    Kom igen, vi vet att du har tagit oss. Men fan det har varit bristfälligt! Kan du låta oss lägga in ytterligare 20 lappar som vi hade förberett? "

    Dessa människor har många huvuden.

  2.   Gregory ros sade

    Politiskt korrekt ursäkt, men ... fungerar inte längre.