Linux内核安全修复通过邮件列表数据挖掘在发布前发现

2020-09-06 10:18:33

宝马(BMW)、西门子(Siemens)和两所德国大学的研究人员发现,他们可以在Linux内核安全补丁发布之前检测到这些补丁,这一洞察力可能会让不法分子开发和部署无法防御的利用代码。

更重要的是,他们发现Linux内核补丁经常以绕过公众审查和讨论的方式被添加,这种做法至少在理论上开启了代码倒退的风险。

在Arxiv发布的一篇题为“沉默的声音:从开源项目中的秘密集成渠道挖掘安全漏洞”的论文中,Ralf Ramshoer(雷根斯堡应用科学大学)、Lukas Bulwahn(宝马)、Daniel Lohmann(汉诺威大学)和Wolfgang Mauerer(西门子应用科学大学)概述了一种数据挖掘方案,这相当于对开源漏洞披露的侧向通道攻击。(#34;Ralf Ramshoer(雷根斯堡大学)、Lukas Bulwahn(宝马大学)、Daniel Lohmann(汉诺威大学)和Wolfgang Mauerer(西门子应用科学大学))概述了一种数据挖掘方案,该方案相当于对开源漏洞披露的侧面通道攻击。

它们描述了用于解决2018 1级终端故障(L1TF)漏洞的补丁程序,该漏洞是一种侧通道推测性执行攻击,允许从基于英特尔的服务器上的虚拟机获取数据。

白皮书称,与普通补丁不同,出于显而易见的原因,这些补丁事先没有在Linux的公共通信渠道(即邮件列表)上讨论和开发。然而,补丁程序没有被公开讨论这一事实暴露了它:我们将证明,一旦补丁程序进入公共存储库,就有可能检测到它们。";

白皮书解释说,L1TF漏洞的CVE条目是在2017年12月提交的,漏洞披露直到2018年8月14日才发生。而Debian 9.2直到5天后才提供补丁。因此,预先知道该漏洞的攻击者可能有数月的时间来设计和部署利用漏洞代码。

德国研究人员所做的与2018年1月2日领导注册的过程没有太大不同,即在计划的披露日期之前发现针对Spectre和Meltdown处理器漏洞正在进行的Linux和Windows补丁工作。

虽然我们从网上聊天和补丁讨论中认识到可疑地剥离了一些细节,从而了解到代码修复工作,但德国研究人员表明,对公开的Linux邮件列表消息和代码提交进行系统的数据挖掘,在查找未披露的缺陷方面可能更有效。

我们在这篇Microsoft、Intel、Adobe、SAP、Red Hat Patch Tuesday文章上花费了太多时间。只需点击,假装阅读,应用更新。

多读。

本质上,Linux内核代码提交和邮件列表公开讨论之间的差距指向敏感的代码补丁,这些补丁在宣布之前就揭示了安全问题。

研究人员将他们的技术应用于2019年11月24日发布Linux5.4之前的七个月内。该报称,我们发现29个提交解决了12个漏洞。对于这些漏洞,我们的方法在公开披露和推出修复程序之前提供了2到179天的临时优势来设计利用漏洞。

这篇论文的作者联系了提交作者,确认这些修改解决了未披露的缺陷。他们还指出,他们为基于ARM64的Cavium系统发现了一个易于利用拒绝服务攻击的补丁,该补丁花了两个月的时间才集成到Ubuntu Bionic中,并且在Debian Buster和4.19 Linux LTS树中仍未修复。

这项研究还涉及到另一个潜在的问题:未经审查或公开讨论而提交的代码。作者说,Linus Torvalds在2019年5月至12月的研究期间做出了40次这样的承诺,没有一次有安全影响。

其他值得信赖的维护者也是这样做的,主要是无关紧要的风格修复。尽管如此,不可信的代码可能会通过这个进程缺口溜进Linux内核,这让这篇论文的作者感到困扰。

这种渠道的存在表明,受信任的个人可以很容易地渗透到项目中,并秘密引入恶意工件(虽然这种可能性已经给出,但我们的方法允许找到具体的实例,否则这是不可能的),论文说。这种承诺的存在与开放发展模式的关键承诺之一相矛盾。

研究人员在他们的论文中说,Linux内核社区已经意识到他们提出的问题,但还没有决定如何处理这些问题。他们还观察到,虽然他们的分析集中在linux内核开发上,但他们的技术可以推广到其他系统级的开源项目,如GCC、qemu、u-Boot、llvm、busybox等。®。

The Register-独立于科技界的新闻和观点。情况发布的一部分