Linux内核团队拒绝明尼苏达大学研究人员的道歉

上周，Linux内核的首席开发人员Greg Kroah-Hartman 广告 默认情况下，来自明尼苏达大学的所有Linux补丁都将被拒绝。

政策的变化是在三名明尼苏达大学的研究人员-Wu Qiushi，Lu Kangjie Lu和Aditya Pakki-着手进行一项计划来测试Linux内核开发人员社区对该组织所谓的“伪君子的承诺”的抵制之后进行的。

Linux内核社区测试

三倍 计划 它首先涉及在Linux内核中发现三个易于修复的低优先级错误，然后对其进行修复-但以补充UMN研究人员所谓的“未成熟漏洞”的方式对其进行修复：

我们使用静态分析工具来识别Linux中的三个“未成熟漏洞”，因此我们发现了应该修复的三个真正的小错误。 “未成熟漏洞”不是真正的漏洞，因为仍然缺少一种条件（例如使用已编辑的对象） […] 我们构建了三个不正确或不完整的次要更正，以修复这三个错误。 但是这些次要更正为“未成熟漏洞”提供了缺失的条件。

然后，研究人员通过电子邮件将特洛伊木马的三个更正发送给Linux内核的主持人，以查看主持人是否在修复一个简单的bug时发现了研究人员介绍的更严重的问题。 主持人对所提供的更正做出响应后，UMN研究人员指出了他们的补丁所输入的错误，并提供了一个“适当的”补丁-一个没有提出新的可利用案例的补丁。

Lu Woo Woo和Baki于2月在第42届IEEE安全和隐私研讨会上发表了他们的发现。

初步回应

上周，一位高级Linux内核开发人员Greg Crow Hartman 退缩 电子邮件地址为umn.edu的人发布了68个标签，以回应“伪君子的义务”。 除了回滚目前的68项更正外，Kroah-Hartman还宣布了一项政策，“假设性地拒绝”来自任何具有以下特征的人的未来更正 @umn.edu 标题。

如果“您提供证据并且可以核实”，Kroah-Hartman继续允许此类将来的更正例外，但他不断问：“真的，您为什么要浪费时间做这些额外的工作？”

明尼苏达大学计算机科学与工程系对禁令做出了“立即中止”的回应[ing] 这条研究线“承诺对研究人员的方法以及已批准的过程进行调查。

道歉不被接受

这个星期六，UMN研究小组 我道歉 通过发给Linux Kernel邮件列表的公开信给Linux社区。 大约800字的公开信比道歉更像是“等待，您听不懂”：

我们只想让您知道我们不会故意损害Linux内核社区，并且永远不会引入安全漏洞。 我们的工作是出于最好的意图，并且是关于发现和修复漏洞。

“伪造者”的工作于2020年8月进行。其目的是提高Linux中调试过程的安全性。 作为该项目的一部分，我们检查了Linux系统调试过程中的潜在问题，包括问题的原因和纠正建议。

克鲁哈特曼（Kroah-Hartman）在周日承认了这一消息，但显然没有给人留下深刻印象：

如您所知，Linux基金会和Linux基金会技术顾问委员会在周五给您的大学写了一封信，概述了需要采取的具体措施，以便您的团体和您的大学可以努力恢复Linux内核社区的信任。

在采取这些行动之前，我们没有其他可以讨论的问题。

目前，我们还不知道Kroah-Hartman和Linux基金会向该小组及其大学要求什么程序。