Der technische Beirat der Linux Foundation, der sich aus führenden Linux-Kernel-Entwicklern zusammensetzt, berichtet über die Ergebnisse seiner vollständigen Untersuchung der Patches der University of Minnesota.
Der Streit zwischen der Linux-Kernel-Community und der University of Minnesota (UMN) wird gelöscht. Dank an schlecht durchdachtes Linux-Sicherheitsprojekt, versuchten zwei UMN-Doktoranden einzufügen absichtlich fehlerhafte Patches in Linux. Greg Kroah-Hartman, der angesehene Linux-Kernel-Betreuer für den Linux-Stable-Zweig, reagierte, indem er nicht nur ihnen, sondern allen mit UMN verbundenen Entwicklern verbot, zum Linux-Kernel beizutragen. Jetzt hat sich UMN mit dem Problem befasst Die Bedenken der Community der Linux-Kernel-Entwickler. Und in einer Nachricht an die Linux-Kernel-Mailingliste (LKML), Die Linux FoundationTechnischer Beirat (TAB) und ehrenamtlich Hochrangige Betreuer und Entwickler des Linux-Kernels haben über ihre Erkenntnisse berichtet als sie Patches von UMN-Wissenschaftlern genau und gründlich untersuchten.
Open Source
- GitHub vs GitLab: Welches Programm ist das richtige für Sie?
- Die besten Linux-Distributionen für Anfänger
- Feren OS ist eine Linux-Distribution, die ebenso schön wie einfach zu bedienen ist
- So fügen Sie neue Benutzer zu Ihrem Linux-Computer hinzu
Das Wichtigste zuerst: 435 Commits von UMN-assoziierten Entwicklern wurden erneut überprüft. „Die überwiegende Mehrheit der überprüften Commits erwies sich als korrekt.“ Von den übrigen waren 39 Commits fehlerhaft und mussten korrigiert werden; 25 wurden bereits durch spätere Commits behoben; 12 spielte keine Rolle mehr; 9 wurde erstellt, bevor die schuldige Forschungsgruppe existierte, und ein Commit wurde auf Wunsch des Autors entfernt.
Dem LKML waren fünf vorsätzlich korrupte Änderungen vorgelegt worden. „Diese Änderungen wurden unter Verwendung zweier gefälschter Identitäten übermittelt, was im Widerspruch zu den dokumentierten Anforderungen für das Beisteuern von Code zum Linux-Kernel steht. Die Universität scheint Forschern erlaubt zu haben, bei der Zustimmung zu dem „Trick“ falsche Identitäten zu verwenden.Ursprungszeugnis der Entwickler,‘ eine rechtliche Erklärung über die eingereichte Arbeit.“
Allerdings anders als von den Forschern Qiushi Wu und Aditya Pakki und ihrem Absolventen behauptet Berater, Kangjie Lu, Assistenzprofessor in der Abteilung für Informatik und Ingenieurwesen der UMN Papier, "Über die Machbarkeit der heimlichen Einführung von Schwachstellen in Open-Source-Software durch Heuchler-Commits, auch bekannt als „Hypocrite Commits“, berichtete das TAB in klaren Details, dass „alle ungültigen Patch-Einreichungen von den Linux-Kernel-Entwicklern und -Betreuern abgefangen oder ignoriert wurden.“ Unsere Patch-Review-Prozesse funktionierten wie vorgesehen, als wir mit diesen bösartigen Patches konfrontiert wurden.“
Obwohl keine neuen Angriffe gefunden wurden, waren die Kernel-Entwickler der Meinung, dass diese umfassende Überprüfung durchgeführt werden musste. Kroah-Hartman sagte mir: „Von uns wurde Gründlichkeit verlangt.“ Denn es bestand auch die Möglichkeit, und sei sie noch so gering, dass absichtlich beschädigter Code in das Programm eingefügt wurde.
Mittlerweile ist die UMN hatte auf die meisten Anfragen des Linux Foundation TAB positiv reagiert. Später die UMN gab der Linux-Community vollständige Auskunft darüber, wer was getan hat und wie das Hypocrite Commits-Projekt durchgeführt wurde.
Mit Blick auf die Zukunft möchte die Linux-Community wieder mit der UMN zusammenarbeiten, wenn die Schule „die Qualität der Änderungen, die zur Aufnahme in den Kernel vorgeschlagen werden“, verbessert.
Auf der Linux-Seite schrieben die TAB-Mitglieder: „Das TAB wird in Zusammenarbeit mit Forschern ein erklärendes Dokument erstellen.“ Best Practices, die alle Forschungsgruppen bei der Arbeit mit dem Kernel (und Open-Source-Projekten in) befolgen sollten allgemein)."
Insbesondere bei UMN fordert das TAB UMN auf, da das Vertrauen verloren gegangen ist, wie es viele Unternehmen und andere Forschungsorganisationen tun:
Benennen Sie eine Gruppe erfahrener interner Entwickler, die vorgeschlagene Kerneländerungen überprüfen und Feedback dazu geben, bevor diese Änderungen öffentlich eingereicht werden. Diese Überprüfung deckt offensichtliche Fehler auf und entlastet die Community von der Notwendigkeit, Entwickler wiederholt an grundlegende Praktiken wie die Einhaltung von Codierungsstandards und das gründliche Testen von Patches zu erinnern. Dies führt zu einem Patch-Stream mit höherer Qualität, der weniger Probleme in der Kernel-Community verursacht.
Bis dies geschehen ist, „werden Patches von UMN weiterhin auf kühle Resonanz stoßen.“
Ähnliche Beiträge:
- Die University of Minnesota antwortet auf Linux-Sicherheitspatch-Anfragen
- Die Forderungen der Linux Foundation an die University of Minnesota wegen ihres schlechten Linux-Patches-Sicherheitsprojekts
- Sicherheitsforscher der University of Minnesota entschuldigen sich für absichtlich fehlerhafte Linux-Patches
- Greg Kroah-Hartman verbietet der University of Minnesota die Linux-Entwicklung wegen absichtlich fehlerhafter Patches