研究人员试图将漏洞添加到Linux内核

2021-04-22 13:49:21

Linux内核是现代历史上最大的软件项目之一;带有巨大的28百万线代码。

来自世界各地的贡献者以及来自不同领域的贡献者每天向Linux内核维护者提交大量补丁,以便在正式​​合并到官方Linux内核树之前进行审核。

这些修补程序可以帮助修复内核中的错误或次要问题,或引入新功能。

但是,今天已经捕获了一些贡献者试图向Linux内核悄悄地将潜在的漏洞提交修补程序,它们被Linux内核维护者捕获。

来自美国明尼苏达大学的研究人员正在进行有关提交修补程序的能力的研究论文,以开源包含隐藏的安全漏洞的源项目,以便科学地衡量被接受和合并的这种补丁的概率。这可能使开源项目容易受到各种攻击。

他们将Linux内核作为其主要实验之一,由于其众所周知的声誉和适应世界各地。

这些研究人员提交了似乎在内核中完全解决相关问题的补丁,但也没有立即似乎引入安全漏洞。他们提交给内核的许多这些修补程序确实成功地合并到Linux内核树。

但是,今天,他们被Linux内核维护者抓住,并被公开羞辱。在Greg Kroah-Hartman的电子邮件中,其中一个主要的Linux内核维护者,他们的方法披露,他们所谓的“新手补丁”被抛出了公共汽车:

您和您的团队已公开承认发送已知的错误修补程序,以了解内核社区如何对其作出反应,并根据该工作发布纸张。

现在你再次提交一系列新的明显 - 不正确的斑块,所以我该怎么想到这样的事情?

显然,GREG和一些其他维护者对此并不乐于兴趣,因为这些实验消耗了他们的时间和努力,并使人们在Linux内核发展中的恶意地聘用:

我们的社区并不欣赏正在尝试并通过提交已知的修补程序,“测试”是故意无所作为,或者故意引入错误。如果你想做工作的话,我建议你找到一个不同的社区来运行你的实验,你不客气。

最后,格雷格宣布Linux内核将禁止明尼苏达大学的所有贡献,并将其提交的所有补丁都将从内核中删除,并将在未来没有从他们那里接受新补丁:

正因为如此,我现在必须禁止所有未来的来自您的大学的贡献,并撕掉您以前的贡献,因为他们因造成问题的意图而闻名于恶意。

他们曾在2021年2月发表的研究论文;大约两个月前。在论文中,他们披露了他们的方法和方法,它们用于让插入到Linux内核和其他开源项目的漏洞。

他们还声称,他们秘密试图向各种开源项目介绍的大部分漏洞都是成功的,平均为%60

目前尚不清楚他们尝试劫持哪些其他开源项目,以及他们成功插入各种开源项目的实际漏洞的实际漏洞。

格雷格已经发送了另一封电子邮件,其中他从Linux内核中恢复了明尼苏达大学的大多数补丁,并将其中一些持有。

讨论:您如何看待此方法?您认为研究员的态度是否有利于科学和安全?或者您认为Linux内核维护者是否正确地禁止从内核中禁止它们,并且不应鼓励这种方法?

在福斯邮政发布之前,评论受到了审核,以保持民用和防止垃圾邮件。

显示评论隐藏评论