明尼蘇達大學團隊解釋了試驗Linux內核的動機

來自明尼蘇達大學的一組研究人員, 他對變更的接受最近被Greg Kroah-Hartman阻止, 發表公開道歉信 並說明其活動的原因。

封鎖是由於 該小組正在調查弱點 查看傳入補丁時並評估使用隱藏漏洞進入變更核心的可能性。 在從一個小組成員那裡獲得了一個有問題的補丁之後,他們做出了一個無意義的修正,這被認為是研究人員再次嘗試與內核開發人員進行實驗。

由於此類實驗可能會帶來安全風險,並給提交者帶來時間,因此決定阻止接受更改,並提交所有以前接受的補丁進行審核。

在公開信中 小組成員說他們的活動是有動機的出於良好的意願和渴望改進審查流程 識別並消除弱點的變化。

該小組多年來一直在研究導致漏洞出現的過程,並且正在積極致力於識別和消除Linux內核中的漏洞。 據說提交給新審查的190個補丁程序是合法的,可以解決現有問題,並且不包含任何故意的錯誤或隱藏的漏洞。

去年XNUMX月進行了令人震驚的調查,以發現隱藏的漏洞,並將其限制為提交三個bug補丁,但均未提交給內核代碼庫。

與這些補丁程序相關的活動僅限於討論,並且在將更改添加到Git之前,補丁程序升級已停止在一個階段。

尚未提供這三個有問題的補丁的代碼,因為這將暴露出進行初審的人員的面孔(信息將在未得到錯誤確認的開發人員的同意下被披露)。

研究的主要來源不是我們自己的補丁,而是對由於漏洞而後被添加到內核的其他人的補丁的分析。 明尼蘇達大學團隊與添加這些修補程序無關。

總共研究了138個可解決錯誤的問題補丁,並在發布研究結果時,即使在研究團隊的參與下,所有相關的錯誤也已修復。

研究人員 他們為使用不合適的方法進行實驗感到遺憾。 錯誤是調查是未經許可且未通知社區的情況下進行的。 隱藏活動的原因是希望獲得實驗的純度,因為通知可能會以常規方式而不是常規方式分別引起對補丁及其評估的關注。

目的是改善基本安全性, 研究人員現在意識到,將社區用作豚鼠是錯誤和不道德的。 同時,研究人員保證他們絕不會有意損害社區,也不會在正在運行的內核代碼中引入新的漏洞。

至於充當崩潰催化劑的無意義補丁,它與先前的研究無關,並且與旨在創建用於自動檢測由於添加其他補丁而出現的錯誤的工具的新項目有關。

該小組現在正在嘗試尋找重新投入開發的方法,並打算與Linux基金會和開發人員社區建立關係,證明其在改善內核安全性方面的價值,並表達了為更好地努力而努力的願望。 。

Greg Kroah-Hartman回答說 的技術委員會 Linux基金會致信 週五前往明尼蘇達大學 描述為恢復對群組的信任而採取的特定操作。 在完成這些操作之前,尚無任何討論。

來源: https://l25kml.org


2條評論,留下您的評論

發表您的評論

您的電子郵件地址將不會被發表。 必填字段標有 *

*

*

  1. 負責數據:MiguelÁngelGatón
  2. 數據用途:控制垃圾郵件,註釋管理。
  3. 合法性:您的同意
  4. 數據通訊:除非有法律義務,否則不會將數據傳達給第三方。
  5. 數據存儲:Occentus Networks(EU)託管的數據庫
  6. 權利:您可以隨時限制,恢復和刪除您的信息。

  1.   麥卡 他說:

    聽上去像:
    “來吧,我們知道你已經抓住我們了。 但Jolín一直想要! 您能讓我們再貼上我們準備好的 20 個補丁嗎?

    這些人很有面子。

  2.   格雷戈里·羅斯 他說:

    政治上正確的藉口,但是......它不再起作用了。