上周,Linux内核的首席开发人员Greg Kroah-Hartman 广告 默认情况下,来自明尼苏达大学的所有Linux补丁都将被拒绝。
政策的变化是在三名明尼苏达大学的研究人员-Wu Qiushi,Lu Kangjie Lu和Aditya Pakki-着手进行一项计划来测试Linux内核开发人员社区对该组织所谓的“伪君子的承诺”的抵制之后进行的。
Linux内核社区测试
三倍 计划 它首先涉及在Linux内核中发现三个易于修复的低优先级错误,然后对其进行修复-但以补充UMN研究人员所谓的“未成熟漏洞”的方式对其进行修复:
我们使用静态分析工具来识别Linux中的三个“未成熟漏洞”,因此我们发现了应该修复的三个真正的小错误。 “未成熟漏洞”不是真正的漏洞,因为仍然缺少一种条件(例如使用已编辑的对象) […] 我们构建了三个不正确或不完整的次要更正,以修复这三个错误。 但是这些次要更正为“未成熟漏洞”提供了缺失的条件。
然后,研究人员通过电子邮件将特洛伊木马的三个更正发送给Linux内核的主持人,以查看主持人是否在修复一个简单的bug时发现了研究人员介绍的更严重的问题。 主持人对所提供的更正做出响应后,UMN研究人员指出了他们的补丁所输入的错误,并提供了一个“适当的”补丁-一个没有提出新的可利用案例的补丁。
Lu Woo Woo和Baki于2月在第42届IEEE安全和隐私研讨会上发表了他们的发现。
初步回应
上周,一位高级Linux内核开发人员Greg Crow Hartman 退缩 电子邮件地址为umn.edu的人发布了68个标签,以回应“伪君子的义务”。 除了回滚目前的68项更正外,Kroah-Hartman还宣布了一项政策,“假设性地拒绝”来自任何具有以下特征的人的未来更正 @umn.edu
标题。
如果“您提供证据并且可以核实”,Kroah-Hartman继续允许此类将来的更正例外,但他不断问:“真的,您为什么要浪费时间做这些额外的工作?”
明尼苏达大学计算机科学与工程系对禁令做出了“立即中止”的回应[ing] 这条研究线“承诺对研究人员的方法以及已批准的过程进行调查。
道歉不被接受
这个星期六,UMN研究小组 我道歉 通过发给Linux Kernel邮件列表的公开信给Linux社区。 大约800字的公开信比道歉更像是“等待,您听不懂”:
我们只想让您知道我们不会故意损害Linux内核社区,并且永远不会引入安全漏洞。 我们的工作是出于最好的意图,并且是关于发现和修复漏洞。
“伪造者”的工作于2020年8月进行。其目的是提高Linux中调试过程的安全性。 作为该项目的一部分,我们检查了Linux系统调试过程中的潜在问题,包括问题的原因和纠正建议。
克鲁哈特曼(Kroah-Hartman)在周日承认了这一消息,但显然没有给人留下深刻印象:
如您所知,Linux基金会和Linux基金会技术顾问委员会在周五给您的大学写了一封信,概述了需要采取的具体措施,以便您的团体和您的大学可以努力恢复Linux内核社区的信任。
在采取这些行动之前,我们没有其他可以讨论的问题。
目前,我们还不知道Kroah-Hartman和Linux基金会向该小组及其大学要求什么程序。
More Stories
Android 15/One UI 7 正在针对 Galaxy A53、A54 等进行测试
《Helldivers 2》的重大更新招致了负面评价,而且玩家数量并未增加一倍
据报道,谷歌 Pixel 9 将获得一些新的 Gemini AI 功能