Linux, che pasticcio: università invia appositamente patch con vulnerabilità

Una notizia che ha dell’incredibile, probabilmente ne avete già sentito parlare in queste ore. La University of Minnesota non potrà più inviare patch per il kernel Linux in seguito alla pubblicazione volontaria di patch contenenti vulnerabilità nel ramo stabile del kernel. Avete capito bene.

UMN: basta sporcare Linux

L’università a febbraio ha pubblicato una ricerca dal titolo “Open Source Insecurity: Stealthily Introducing Vulnerabilities via Hypocrite Commits”. Hanno svolto una ricerca che riguardava l’inserimento intenzionale di falle nel ramo principale del kernel Linux. In particolare, si è trattato di vulnerabilità Use-After-Free che riguardano un errato uso della memoria. Se dopo aver liberato una posizione di memoria, un programma non cancella il puntatore a quell’indirizzo, un malintenzionato può sfruttare  l’errore per hackerare il programma stesso.

Dopo aver pubblicato il documento sopra citato i ricercatori hanno prodotto un’ondata di patch buggate attraverso un tool automatico. I manutentori hanno quindi dovuto perdere tempo prezioso per verificare del codice inutile.  La storia non è piaciuta a Greg-Kroah-Hartman, mantainer del kernel, che ha optato per rimuovere tutti i commit provenienti da indirizzi @umn.edu, anche perché l’ateneo non ha fatto nulla per fermare i propri ricercatori.

Lo scontro Hartman – Pakki

hartman

Hartman

Il dottorando Aditya Pakki ha cercato di difendersi:

Greg, vi chiedo rispettosamente di cessare e desistere dal fare accuse selvagge […] Queste patch sono state inviate da un nuovo analizzatore statico che ho scritto e la sua sensibilità ovviamente non è eccezionale. Ho inviato le patch nella speranza di ottenere dei feedback […] Ovviamente, abbiamo compiuto un passo falso, ma i tuoi pregiudizi sono così forti, fai accuse senza merito né ci dai alcun beneficio del dubbio. Non invierò più patch per l’atteggiamento non solo sgradito ma anche intimidatorio per neofiti e non esperti.

Hartman ha ribattuto stizzito:

Tu e il tuo gruppo avete ammesso pubblicamente di aver inviato patch con bug noti per vedere come reagirebbe la comunità del kernel, e avete pubblicato un documento basato su quel lavoro. Ora invii di nuovo una nuova serie di patch, ovviamente errate, cosa dovrei pensare di una comportamento del genere?

Hartman si è arrabbiato perché i mantainer sono stati costretti a sistemare patch che non risolvevano alcun problema.

Per questo motivo, ora dovrò bandire tutti i contributi futuri dalla vostra Università ed eliminare i contributi precedenti, poiché sono stati ovviamente presentati in malafede con l’intento di creare problemi. Se desideri lavorare in questo modo, ti suggerisco di trovare una comunità diversa su cui eseguire i tuoi esperimenti, non sei il benvenuto qui.

ha concluso Hartman.

Tutti i commit provenienti da indirizzi @umn.edu sono quindi stati rimossi, anche perché l’ateneo non ha fatto nulla per fermare i ricercatori dal proseguire sulla loro strada.

E la community?

In molti si sono detti d’accordo con Hartman, soprattutto i mantainer del kernel, indignati dall’atteggiamneto dell’università. Queste le parole di Floyd di Red Hat:

Altri, come Brad Spengler, presidente di Open Source Security Inc., hanno ritenuto eccessiva la reazione da parte dei manutentori del kernel Linux. Perché rimuovere anche i commit più vecchi rispetto alla pubblicazione della ricerca?sharing-caring-1

Seguiteci sul nostro canale Telegram, sulla nostra pagina Facebook e su Google News. Nel campo qui sotto è possibile commentare e creare spunti di discussione inerenti le tematiche trattate sul blog.

Fonte: https://www.lffl.org/2021/04/linux-patch-bug-unm.html

Visited 3 times, 1 visit(s) today
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!

Hai dubbi o problemi? Ti aiutiamo noi!

Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.
Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
Amazon Music
Scopri le ultime offerte per dischi ssd su Acquista su Amazon
Scopri le ultime offerte per memorie RAM DDR su Acquista su Amazon
Scopri le ultime offerte per Chromebook su Acquista su Amazon
Scopri le ultime offerte per Raspberry su Acquista su Amazon

Potrebbero interessarti anche...

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.