Il team del kernel Linux banna l’Università del Minnesota per l’invio di patch difettose in nome della ricerca!

vulnerabilidad

Greg Kroah Hartman, che è uno dei capi del team di sviluppo e manutenzione del kernel Linux, ha vietato all’Università del Minnesota (UMN) di contribuire ulteriormente al kernel Linux.

L’Università aveva apparentemente introdotto patch discutibili nel kernel di Linux.

L’UMN aveva lavorato a un documento di ricerca denominato “Sulla fattibilità dell’introduzione furtiva di vulnerabilità nel software open-source tramite Hypocrite Commits “. Ovviamente, il “Software Open Source” (OSS) qui sta indicando il kernel Linux e l’Università ha introdotto furtivamente la vulnerabilità Use-After-Free (UAF) per testare la suscettibilità di Linux. Fin qui tutto bene forse perché lo si può vedere come una sperimentazione etica.

Tuttavia, l’UMN apparentemente ha inviato un altro giro di “patch ovviamente non corrette” nel kernel sotto forma di “un nuovo analizzatore statico” causando disgusto a Greg Kroah Hartman che ora ha deciso di vietare all’Università di fornire ulteriori contributi.

Ecco lo scambio tra Aditya Pakki, che è un dottorato di ricerca. studente di informatica e ingegneria all’UMN e Greg Kroah Hartman. Pakki aveva scritto:

Greg,

Ti chiedo rispettosamente di cessare e desistere dal fare accuse selvagge che rasentano la calunnia.

Queste patch sono state inviate come parte di un nuovo analizzatore statico che ho scritto e la sua sensibilità ovviamente non è eccezionale. Ho inviato patch nella speranza di ottenere feedback. Non siamo esperti nel kernel di Linux e fare ripetutamente queste affermazioni è disgustoso da sentire.

Ovviamente, è un passo sbagliato, ma i tuoi pregiudizi preconcetti sono così forti che fai accuse senza merito né ci dai alcun beneficio del dubbio. Non invierò più patch per l’atteggiamento non solo sgradito ma anche intimidatorio per neofiti e non esperti.

A cui Greg Kroah Hartman ha risposto:

Tu e il tuo gruppo avete ammesso pubblicamente di aver inviato patch con bug noti per vedere come reagirebbe la comunità del kernel, e avete pubblicato un documento basato su quel lavoro.

Ora invii di nuovo una nuova serie di patch ovviamente errate, quindi cosa dovrei pensare di una cosa del genere?

Ovviamente _NON_ sono stati creati da uno strumento di analisi statica di qualsiasi intelligenza, poiché sono tutti il ​​risultato di schemi completamente diversi, e tutti ovviamente non stanno nemmeno risolvendo nulla. Quindi cosa dovrei pensare qui, a parte il fatto che tu e il tuo gruppo continuate a sperimentare sugli sviluppatori della comunità del kernel inviando queste patch senza senso?

Quando si inviano patch create da uno strumento, tutti coloro che lo fanno le inviano con parole come “trovate dallo strumento XXX, non siamo sicuri che sia corretto o meno, per favore avvisate.” che NON è affatto quello che hai fatto qui. Non stavi chiedendo aiuto, stavi affermando che si trattava di correzioni legittime, che SAPEVI essere errate.

Pochi minuti con chiunque abbia l’apparenza di conoscenza di C può vedere che i tuoi invii NON fanno nulla, quindi pensare che uno strumento li ha creati, e poi che hai pensato che fossero una valida “correzione” è totalmente negligente sul tuo parte, non la nostra. Sei tu il colpevole, non è nostro compito essere i soggetti di prova di uno strumento che crei.

La nostra comunità accoglie gli sviluppatori che desiderano aiutare e migliorare Linux. NON è quello che stai tentando di fare qui, quindi per favore non cercare di inquadrarlo in questo modo.

La nostra comunità non apprezza di essere sperimentata e di essere “testata” inviando patch note che non fanno nulla di proposito o introducono bug apposta. Se desideri lavorare in questo modo, ti suggerisco di trovare una comunità diversa su cui eseguire i tuoi esperimenti, non sei il benvenuto qui.

Per questo motivo, dovrò ora bandire tutti i futuri contributi dalla tua Università e strappare i tuoi contributi precedenti, poiché erano ovviamente presentati in malafede con l’intento di causare problemi.

*plonk*

Come Greg Kroah Hartman aveva dichiarato nella sua risposta ad Aditya Pakki, le patch introdotte dall’UMN verranno effettivamente rimosse, il che è stato confermato da questo messaggio LKML di follow-up .

Fonte: Greg KH (Twitter)


Aggiornamento : Loren Terveen, capo dipartimento associato del dipartimento di informatica e ingegneria presso MNU ha contattato Neowin e ha rilasciato la seguente dichiarazione in un commento su questo articolo e su Twitter :

La leadership del Dipartimento di Informatica e Ingegneria dell’Università del Minnesota ha appreso oggi i dettagli della ricerca condotta da uno dei suoi membri della facoltà e da studenti laureati sulla sicurezza del kernel Linux. Il metodo di ricerca utilizzato ha sollevato serie preoccupazioni nella comunità del kernel Linux e, ad oggi, ciò ha comportato il divieto all’Università di contribuire al kernel Linux.

Prendiamo questa situazione estremamente seriamente. Abbiamo subito sospeso questa linea di ricerca. Indagheremo il metodo di ricerca e il processo con cui questo metodo di ricerca è stato approvato, determineremo azioni correttive appropriate e salvaguarderemo da problemi futuri, se necessario. Riporteremo i nostri risultati alla comunità non appena possibile.

Cordiali saluti,

Mats Heimdahl, capo dipartimento
Loren Terveen, capo dipartimento associato

Ma non è finita qui, Brad Spengler, presidente di Open Source Security Inc., ha definito eccessiva la reazione da parte dei manutentori del kernel Linux.

… annullare i commit inviati ben prima di qualsiasi ricerca, rimuovere i controlli CAP_SYS_ADMIN che sono stati aggiunti, ecc … Questo è da pazzi.

… reintrodurre consapevolmente dozzine di vulnerabilità per ‘prendere posizione’? Andiamo.

ha scritto Spengler su Twitter.

Jered Floyd di Red Hat invece la vede diversamente e scrive:

Questo è peggio di essere oggetto di un esperimento; è come dire che sei un ‘ricercatore di sicurezza’ recandoti in un negozio di alimentari e tagliando i tubi dei freni su tutte le auto (all’esterno, ndr) per vedere quante persone si schiantano quando se ne vanno. È enormemente immorale.

Questa sarà sicuramente una lunga storia e vedremo come andrà a finire ma resta il fatto che alla fine Linux risulta essere più sicuro e i suoi sviluppatori più attenti che mai!

Fonte: https://www.neowin.net/news/linux-bans-university-of-minnesota-for-sending-buggy-patches-in-the-name-of-research/

Visited 2 times, 1 visit(s) today
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!

Hai dubbi o problemi? Ti aiutiamo noi!

Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.
Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
Amazon Music
Scopri le ultime offerte per dischi ssd su Acquista su Amazon
Scopri le ultime offerte per memorie RAM DDR su Acquista su Amazon
Scopri le ultime offerte per Chromebook su Acquista su Amazon
Scopri le ultime offerte per Raspberry su Acquista su Amazon

Potrebbero interessarti anche...

2 risposte

  1. 24 Aprile 2021

    […] Torvalds che sta reagendo all’atto di un gruppo dell’Università del Minnesota che ha inviato patch note con bug allo sviluppatore senior Greg […]

  2. 25 Aprile 2021

    […] Uno dei principali sviluppatori e manutentori del kernel Linux, Greg Kroah-Hartman ha messo un ban sull’UMN per aver intenzionalmente inserito patch buggate nel kernel Linux. […]

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.