Minulý týden hlavní vývojář linuxového jádra Greg Kroah-Hartman Inzerovat Ve výchozím nastavení budou všechny opravy Linuxu pocházející z University of Minnesota odmítnuty.
Změna politiky proběhla v době, kdy se tři vědci z University of Minnesota – Qiushi Wu, Kangjie Lu a Aditya Pakki – pustili do programu, který otestoval odolnost komunity vývojářů linuxového jádra vůči tomu, co skupina nazvala „pokrytecký závazek“.
Test komunity linuxového jádra
Trojnásobný Plánováno Nejprve to zahrnovalo nalezení tří snadno opravitelných chyb s nízkou prioritou v jádře Linuxu a pak jejich opravu – ale jejich oprava způsobem, který doplňuje to, co vědci UMN nazývají „nezralá zranitelnost“:
K identifikaci tří „nezralých chyb zabezpečení“ v systému Linux používáme nástroj pro statickou analýzu, takže objevujeme tři opravdové drobné chyby, které by měly být opraveny. „Nezralé chyby zabezpečení“ nejsou skutečné chyby zabezpečení, protože stále chybí jedna podmínka (například použití upraveného objektu). […] Sestavujeme tři nesprávné nebo neúplné drobné opravy, abychom tyto tři chyby opravili. Tato sekundární místa však poskytují chybějící podmínky pro „nezralé zranitelnosti“.
Tito tři vědci poté zašlou e-maily o opravách trojského koně moderátorům linuxového jádra, aby zjistili, zda moderátoři při řešení jednoduché chyby objevili závažnější problém, který vědci představili. Jakmile moderátoři zareagovali na poskytnutou opravu, vědci UMN poukázali na chybu, do které vstoupila jejich oprava, a poskytli „správnou“ opravu – ta, která nepředstavuje nově zneužitelný případ – na místě.
Lu, Wu a Paki zveřejnili svá zjištění v únoru na 42. sympoziu IEEE o bezpečnosti a soukromí.
Počáteční odpověď
Minulý týden jeden z vedoucích vývojářů linuxových jader Greg Crow Hartman couvat 68 štítků zveřejněných lidmi s e-mailovými adresami umn.edu v reakci na „Povinnosti pokrytců“. Kromě odvolání těchto současných 68 oprav Kroah-Hartman oznámil politiku „hypotetického odmítnutí“ budoucích oprav od kohokoli s @umn.edu
Titul.
Kroah-Hartman dále povolil výjimky pro takové budoucí opravy, pokud „poskytnete důkazy a můžete to ověřit,“ ale stále se ptal: „Opravdu, proč ztrácíte čas prací na této práci navíc?“
Katedra výpočetní techniky a University of Minnesota na zákaz odpověděla „okamžitým pozastavením“[ing] Tato řada výzkumu „slibuje prozkoumat metodu výzkumníků – a proces, který byl schválen.
Omluva není akceptována
Tuto sobotu výzkumný tým UMN Omlouvám se Komunitě Linux prostřednictvím otevřeného dopisu zaslaného do seznamu adres Linuxového jádra. Zhruba 800slovný otevřený dopis přichází spíše jako „počkejte, nerozumíte“ než omluva:
Chceme jen, abyste věděli, že úmyslně nepoškodíme komunitu jádra Linuxu a nikdy nezavádíme chyby zabezpečení. Naše práce probíhá s těmi nejlepšími úmysly a jde o hledání a opravování zranitelných míst.
Práce „pokrytců“ byla provedena v srpnu 2020. Zaměřila se na zlepšení bezpečnosti procesu ladění v systému Linux. V rámci projektu jsme zkoumali potenciální problémy v procesu ladění systému Linux, včetně příčin problémů a návrhů na jejich odstranění.
Kroah-Hartman zprávu v neděli přijal, ale byl zjevně méně než ohromen:
Jak víte, Linux Foundation a Linux Foundation Technical Advisory Board zaslaly v pátek vaší univerzitě dopis, v němž nastiňovaly konkrétní akce, které je třeba provést, aby vaše skupina a vaše univerzita mohly pracovat na obnovení důvěry komunity linuxového jádra.
Dokud nebudou přijata tato opatření, nemáme o této otázce nic jiného k projednání.
V tuto chvíli nevíme, jaké přesně postupy od skupiny a její univerzity vyžadují Kroah-Hartman a Linux Foundation.
„Obhájce Twitteru. Zombie fanatik. Hudební fanoušek. Milovník cestování. Webový expert. Pivní guru. Kávový fanatik.“