Minulý týden hlavní vývojář linuxového jádra Greg Kroah-Hartman Inzerovat Ve výchozím nastavení budou všechny opravy Linuxu pocházející z University of Minnesota odmítnuty.
Změna politiky proběhla v době, kdy se tři vědci z University of Minnesota – Qiushi Wu, Kangjie Lu a Aditya Pakki – pustili do programu, který otestoval odolnost komunity vývojářů linuxového jádra vůči tomu, co skupina nazvala „pokrytecký závazek“.
Test komunity linuxového jádra
Trojnásobný Plánováno Nejprve to zahrnovalo nalezení tří snadno opravitelných chyb s nízkou prioritou v jádře Linuxu a pak jejich opravu – ale jejich oprava způsobem, který doplňuje to, co vědci UMN nazývají „nezralá zranitelnost“:
K identifikaci tří „nezralých chyb zabezpečení“ v systému Linux používáme nástroj pro statickou analýzu, takže objevujeme tři opravdové drobné chyby, které je třeba opravit. „Nezralé chyby zabezpečení“ nejsou skutečné chyby zabezpečení, protože stále chybí jedna podmínka (například použití upraveného objektu) […] Sestavujeme tři nesprávné nebo neúplné drobné opravy, abychom tyto tři chyby opravili. Ale tyto sekundární opravy poskytují chybějící podmínky pro „nezralé zranitelnosti“.
Vědci poté zaslali e-mailem tři opravy trojských koní moderátorům linuxového jádra, aby zjistili, zda moderátoři objevili závažnější problém, který vědci představili při opravě jednoduché chyby. Jakmile moderátoři zareagovali na poskytnutou opravu, vědci UMN poukázali na chybu, do které vstoupila jejich oprava, a poskytli „správnou“ opravu – ta, která nepředstavuje nově zneužitelný případ – na místě.
Lu Woo Woo a Baki zveřejnili svá zjištění v únoru na 42. sympoziu IEEE o bezpečnosti a soukromí.
Počáteční odpověď
Minulý týden jeden z vedoucích vývojářů linuxových jader Greg Crow Hartman couvat 68 štítků zveřejněných lidmi s e-mailovými adresami umn.edu v reakci na „Povinnosti pokrytců“. Kromě odvolání těchto současných 68 oprav Kroah-Hartman oznámil politiku „hypotetického odmítnutí“ budoucích oprav od kohokoli s @umn.edu Titul.
Kroah-Hartman dále povolil výjimky pro takové budoucí opravy, pokud „poskytnete důkazy a můžete to ověřit,“ ale stále se ptal: „Opravdu, proč ztrácíte čas prací na této práci navíc?“
Katedra výpočetní techniky a University of Minnesota na zákaz odpověděla „okamžitým pozastavením“[ing] Tato řada výzkumu „slibuje prozkoumat metodu výzkumníků – a proces, který byl schválen.
Omluva není akceptována
Tuto sobotu výzkumný tým UMN Omlouvám se Komunitě Linux prostřednictvím otevřeného dopisu zaslaného do seznamu adres Linuxového jádra. Zhruba 800slovný otevřený dopis přichází spíše jako „počkejte, nerozumíte“ než omluva:
Chceme jen, abyste věděli, že úmyslně nepoškodíme komunitu jádra Linuxu a nikdy nezavádíme chyby zabezpečení. Naše práce probíhá s těmi nejlepšími úmysly a jde o hledání a řešení zranitelností.
Práce „pokrytců“ byla provedena v srpnu 2020. Zaměřila se na zlepšení bezpečnosti procesu ladění v systému Linux. V rámci projektu jsme zkoumali potenciální problémy v procesu ladění systému Linux, včetně příčin problémů a návrhů na jejich odstranění.
Kroah-Hartman zprávu v neděli přijal, ale byl zjevně méně než ohromen:
Jak víte, Linux Foundation a Linux Foundation Technical Advisory Board zaslaly v pátek vaší univerzitě dopis, v němž nastiňovaly konkrétní akce, které je třeba provést, aby vaše skupina a vaše univerzita mohly pracovat na obnovení důvěry komunity linuxového jádra.
Dokud nebudou přijata tato opatření, nemáme o této otázce nic jiného k projednání.
V tuto chvíli nevíme, jaké přesně postupy od skupiny a její univerzity vyžadují Kroah-Hartman a Linux Foundation.
„Přátelský průkopník popkultury. Hodně padá. Sociální média geek. Obecný fanatik do kávy. Televizní nadšenec. Potížista.“
