明尼苏达大学团队解释了试验Linux内核的动机

来自明尼苏达大学的一组研究人员， Greg Kroah-Hartman最近阻止了他接受更改， 发表公开道歉信 并说明其活动的原因。

封锁是由于 该小组正在调查弱点 查看传入补丁时并评估使用隐藏漏洞进入变更核心的可能性。 在从一个小组成员那里收到了一个有问题的补丁之后，他们提出了一个荒谬的解决方案，即认为研究人员正在再次尝试与内核开发人员进行实验。

由于此类实验可能会带来安全风险，并给提交者带来时间，因此决定阻止接受更改，并提交所有以前接受的补丁进行审核。

在公开信中 小组成员说他们的活动是有动机的 只 出于良好的意愿和改善审查流程的愿望 识别并消除弱点的更改。

该小组多年来一直在研究导致漏洞出现的过程，并且正在积极致力于识别和消除Linux内核中的漏洞。 据说提交给新审查的190个补丁程序是合法的，可以解决现有问题，并且不包含任何故意的错误或隐藏的漏洞。

去年XNUMX月进行了令人震惊的研究，旨在提高隐藏的漏洞的安全性，并将其仅限于提交三个bug补丁，但均未提交给内核代码库。

与这些补丁程序相关的活动仅限于讨论，并且在将更改添加到Git之前，补丁程序升级在一个阶段停止。

尚未提供三个有问题的修补程序的代码，因为这将暴露出进行初审的人员的面孔（信息将在未得到错误确认的开发人员的同意下显示出来）。

研究的主要来源不是我们自己的补丁，而是对后来添加到内核中的其他人的补丁的分析，原因是随后出现了漏洞。 明尼苏达大学团队与添加这些补丁无关。

总共研究了138个可解决错误的问题补丁，并且在发布研究结果时，即使在研究团队的参与下，所有相关的错误也已修复。

研究人员 他们对使用不合适的方法进行实验感到遗憾。 错误是调查是在未经许可且未经通知社区的情况下进行的。 隐藏活动的原因是希望获得实验的纯度，因为通知可能会以常规方式分别将注意力吸引到补丁及其评估上。

而 目的是改善基本安全性， 研究人员现在意识到，将社区用作豚鼠是错误和不道德的。 同时，研究人员保证他们绝不会有意损害社区，也不会在正在运行的内核代码中引入新的漏洞。

至于充当崩溃催化剂的无意义补丁，它与先前的研究无关，并且与旨在创建用于自动检测由于添加其他补丁而出现的错误的工具的新项目有关。

该小组现在正在尝试寻找重新投入开发的方法，并打算与Linux基金会和开发人员社区建立关系，证明其在改善内核安全性方面的价值，并表示希望更加努力地工作。 。

Greg Kroah-Hartman回答说 的技术委员会 Linux基金会致信 周五前往明尼苏达大学 描述为恢复对群组的信任而采取的特定操作。 在完成这些操作之前，尚无任何讨论。

数据来源： https://l25kml.org