Классический форум-трекер
canvas not supported
Нас вместе: 4 232 175

Университет Миннесоты отстранён от разработки ядра Linux за отправку сомнительных патчей


Страницы:   Пред.  1, 2, 3 
 
RSS
Начать новую тему   Ответить на тему    Торрент-трекер NNM-Club -> Компьютеры и комплектующие -> Компьютерные новости
Автор Сообщение
Maximus ®
Вольный стрелок
Uploader 100+
Стаж: 17 лет 5 мес.
Сообщений: 5045
Ratio: 25.177
Поблагодарили: 13176
100%
nnm-club.gif
Грег Кроа-Хартман (Greg Kroah-Hartman), отвечающий за поддержку стабильной ветки ядра Linux, принял решение запретить приём в ядро Linux любых изменений, поступающих из Университета Миннесоты, а также откатить все ранее принятые патчи и провести их повторное рецензирование. Причиной блокировки стала деятельность исследовательской группы, изучающей возможность продвижения скрытых уязвимостей в код открытых проектов. Указанная группа отправляла патчи, включающие различного рода ошибки, наблюдала за реакцией сообщества и изучала пути обмана процесса рецензирования изменений. По мнению Грега проведение подобных экспериментов по внедрению вредоносных изменений является неприемлемым и неэтичным.

Поводом блокировки послужила отправка участниками данной группы патча, который добавлял проверку указателя для исключения возможного двойного вызова функции "free". С учётом контекста использования указателя проверка была бессмысленна. Целью отправки патча было изучение того, пройдёт ли ошибочное изменение рецензирование разработчиками ядра. Кроме указанного патча всплыли и другие попытки разработчиков из Университета Миннесоты внести сомнительные изменения в ядро, в том числе связанные с добавлением скрытых уязвимостей.

Отправивший патчи участник попытался оправдаться тем, что испытывает новый статический анализатор и изменение подготовлено на основе результатов проверки в нём. Но Грег обратил внимание на то, что предложенные исправления не характерны для ошибок, выявляемых статическими анализаторами, и присланные патчи ничего не исправляют. C учётом того, что рассматриваемая группа исследователей уже пыталась в прошлом продвигать исправления со скрытыми уязвимостями, очевидно, что они продолжили свои эксперименты над сообществом разработчиков ядра.

Интересно, что в прошлом руководитель проводящей эксперименты группы принимал участие в легитимном исправлении уязвимостей, например, выявил утечки информации в USB-стеке (CVE-2016-4482) и сетевой подсистеме (CVE-2016-4485). В исследовании скрытого продвижения уязвимостей группа из Университета Миннесоты приводит пример уязвимости CVE-2019-12819, вызванной исправлением, принятым в ядро в 2014 году. Исправление добавляло в блок обработки ошибки в mdio_bus вызов put_device, но спустя пять лет всплыло, что подобная манипуляция приводит к обращению к блоку памяти после его освобождения ("use-after-free").

При этом авторы исследования утверждают, что в своей работе они обобщили данные о 138 патчах, вносящих ошибки, но не связанных с участниками исследования. Попытки же отправки собственных патчей с ошибками ограничивались email-перепиской, и подобные изменения не достигли стадии Git-коммита в какую-либо ветку ядра (если после отправки патча по email мэйнтейнер считал патч нормальным, то его просили не включать изменение так как там ошибка, после чего присылали правильный патч).

Дополнение 1: Судя по активности автора раскритикованного исправления он уже давно отправляет патчи в различные подсистемы ядра. Например, в драйверы radeon и nouveau недавно были приняты изменения с вызовом pm_runtime_put_autosuspend(dev->dev) в блоке ошибки, не исключено, что приводящему к использованию буфера после освобождения связанной с ним памяти.

Дополнение 2: Грег откатил 190 коммитов, связанных с адресами "@umn.edu" и инициировал их повторное рецензирование. Проблема в том, что участники с адресами "@umn.edu" не только экспериментировали с продвижением сомнительных патчей, но и устраняли реальные уязвимости, и откат изменений может привести к возвращению ранее исправленных проблем с безопасностью. Некоторые мэйнтейнеры уже перепроверили отменённые изменения и не нашли проблем, но нашлись также патчи с ошибками.

Дополнение 3: Руководство факультета компьютерных наук Университета Миннесоты опубликовало заявление, в котором объявило о приостановке исследований в данном направлении, инициировании проверки корректности используемых методов и проведении разбирательства того, как подобное исследование было одобрено. Отчёт с результатами будет передан сообществу.


OpenNet | Twitter

_________________
«Если ты ненавидишь, значит тебя победили» – Конфуций
poratenn
Стаж: 11 лет 3 мес.
Сообщений: 343
Ratio: 7.088
4.43%
russia.gif
никогда такого не было и вот опять! (с)
floyde
Стаж: 10 лет 3 мес.
Сообщений: 254
Ratio: 1.561
100%
Как всегда: "слышим звон, да не знаем где он."
kalt12
Uploader 100+
Стаж: 11 лет 4 мес.
Сообщений: 8068
Ratio: 202.113
100%
russia.gif
fontan16 писал(а): Перейти к сообщению
Об этом победно трубили российские СМИ несколько лет назад.

...Может у вас это было? Мальчик к ОС ни с какого боку не подошёл. Написать о нём как о разработчике, кому то было очень надо. Написал. На этом всё и кончилось. Что до ядра, то Линус чихвостит пятое не по детски. Вот что значит мощный ПК собрал... :подмигивание:
igor308
Стаж: 12 лет 5 мес.
Сообщений: 190
Ratio: 2.789
4.04%
belarus.gif
fontan16 писал(а): Перейти к сообщению
infernos13 писал(а): Перейти к сообщению
черт возьми, пора писать свое ядро=)))

Так у вас же был маленький мальчик, который написал свою ОС. Об этом победно трубили российские СМИ несколько лет назад. В перерыве между уроками написал своё ядро и грозился переписать весь офисный пакет, но видимо много уроков задали и последнее обещание он не выполнил.

Потом этому маленькому мальчику пришлось с позором признать что взял за основу ядро Linux. Довел бедного учителя.)))
GnomAndrey85
Стаж: 3 года
Сообщений: 46
Ratio: 549.606
100%
Откуда: Маленькая Деревня
russia.gif
Ar0visTM писал(а): Перейти к сообщению
У вас тут каждый раз критикуют винду

не всякую. тока 10- ку.
VikusK
 
Стаж: 12 лет 1 мес.
Сообщений: 1188
Ratio: 3.47
77.11%
russia.gif
Критиковать Линукс, это всё равно, что критиковать что лошадь того самого ковбоя из анекдота "неуловимый Джо" стала что-то спотыкаться...
да кому оно вообще надо то, как говорится а её то за что...
жалко конечно линуксолюбов, но по справедливости всё должно быть как у всех, а иначе жизнь не будет интересной...
belo0
Стаж: 11 лет
Сообщений: 7
Ratio: 7.237
2.94%
Быстрая, четкая, гласная, справедливая реакция на сбой сложной системы. Сообщество разработчиков на правильном пути. В очередной раз продемонстрировано преимущество демокраческих принципов над авторитатизмом в повседневной жизни (при отсутствии ЧП). =)
Kedmi
Стаж: 5 лет 2 мес.
Сообщений: 2902
Ratio: 5.539
Раздал: 2.178 TB
100%
witch.png
kalt12 писал(а): Перейти к сообщению
fontan16 писал(а): Перейти к сообщению
Об этом победно трубили российские СМИ несколько лет назад.

...Может у вас это было? Мальчик к ОС ни с какого боку не подошёл. Написать о нём как о разработчике, кому то было очень надо. Написал. На этом всё и кончилось. Что до ядра, то Линус чихвостит пятое не по детски. Вот что значит мощный ПК собрал... :подмигивание:


У них, это где?

fontan16 писал(а): Перейти к сообщению

fuddled писал(а):
Нифига не понял, но очень интересно.

Как я понял, группа товарищей из унивРеситета Миннесоты,


Где применимо в общении или написании, термин товарищ? Он такой же американец, как и о чём он пишет - (Об этом победно трубили российские СМИ несколько лет назад) Так видимо трубили, что я впервые об этом услышал здесь и сейчас. Т.ч. не стоит обращать внимания с каким местом жительства, позиционирует себя человек на форуме.
Показать сообщения:   
Начать новую тему   Ответить на тему    Торрент-трекер NNM-Club -> Компьютеры и комплектующие -> Компьютерные новости Часовой пояс: GMT + 3
Страницы:   Пред.  1, 2, 3
Страница 3 из 3