L'Université du Minnesota répond aux demandes de correctifs de sécurité Linux

  • Oct 17, 2023

L'UMN veut faire la paix avec la communauté des développeurs du noyau Linux après une ennuyeuse erreur de recherche sur la sécurité du code Linux.

Si vous êtes juste en train de suivre cette histoire, voici un bref récapitulatif: des chercheurs de l'Université du Minnesota ont délibérément soumis des correctifs qui auraient mis le Utilisation après libération (UAF) vulnérabilité dans le noyau Linux. Quand il apparut, ils essayaient une fois de plus de mettre des correctifs inutiles dans le noyau, Greg Kroah-Hartman, le responsable du noyau Linux pour la branche stable, a interdit aux développeurs UMN de se soumettre au noyau et a retiré les correctifs UMN suspects existants. Le Fondation Linux suivi d'une liste de demandes auxquelles l'UMN doit se conformer s'il souhaite travailler avec le noyau Linux encore. ZDNet a désormais obtenu une copie de la réponse de l'UMN à la communauté Linux.

Open source

  • GitHub vs GitLab: quel programme est fait pour vous?
  • Les meilleures distributions Linux pour les débutants
  • Feren OS est une distribution Linux aussi belle que facile à utiliser
  • Comment ajouter de nouveaux utilisateurs à votre machine Linux

Selon Mats Heimdahl, professeur à l'UMN et chef du département d'informatique et d'ingénierie, l'école apprécie Linux Ils attendent avec impatience de parvenir à « une résolution mutuellement satisfaisante » et estiment que se réengager les uns avec les autres « est la voie à suivre ».

Plus précisément, Heimdahl a poursuivi:

Nous étudions actuellement vos demandes et agissons aussi rapidement que possible pour produire une réponse substantielle qui y répond. En particulier, le groupe de recherche prépare une lettre à la communauté Linux et nous essayons actuellement d'obtenir le consentement du groupe pour divulguer toutes les informations sur les soumissions de code. Une fois que nous aurons eu l’occasion d’examiner les questions restantes, nous apprécierions avoir l’occasion de vous rencontrer pour discuter et aller de l’avant.

Ceci est en réponse à la principale demande de Mike Dolan, vice-président principal et directeur général des projets de la Linux Foundation :

Veuillez fournir au public, de manière accélérée, toutes les informations nécessaires pour identifier toutes les propositions de code connu comme vulnérable provenant de toute expérience de l'Université du Minnesota. Les informations doivent inclure le nom de chaque logiciel ciblé, les informations de validation, le nom présumé du proposant, l'adresse e-mail, date/heure, sujet et/ou code afin que tous les développeurs de logiciels puissent identifier rapidement de telles propositions et potentiellement prendre des mesures correctives pour de telles expériences.

Trouver le code douteux et la documentation associée est difficile. Les chercheurs de l’UMN ont mal suivi leurs propres recherches. Comme l'a commenté Al Viro, développeur senior du noyau Linux: « Le manque de données est en partie ce qui rend le tout disproportionné -- si ils ont pris la peine de joindre la liste (ou un lien vers celle-ci) de SHA1 des commits qui étaient issus de leur expérience, ou, mieux encore, maintenaient et fournissaient la liste des identifiants de message de toutes les soumissions, réussies ou non, ce gâchis avec les demandes de retour générales, etc. aurait été beaucoup plus petit (si cela s'était produit)."

Dolan a également demandé, au nom de la communauté des développeurs Linux, que le document issu de cette recherche: "Sur la faisabilité de l'introduction furtive de vulnérabilités dans les logiciels open source via des engagements hypocrites," soit retiré car les chercheurs, Qiushi Wu et Aditya Pakki, et leur conseiller diplômé, Kangjie Lu, un assistant professeur au Département d'Informatique et d'Ingénierie de l'UMN, a expérimenté sur les mainteneurs du noyau Linux sans leur autorisation. Par conséquent, l'article devrait être retiré « de la publication officielle et de la présentation formelle de tous les travaux de recherche » basé sur cette recherche ou une recherche similaire où des personnes semblent avoir été expérimentées sans leur consentement préalable. consentement. Laisser des informations d'archives publiées sur Internet est une bonne chose, car elles sont pour la plupart déjà publiques, mais il ne devrait y avoir aucun crédit de recherche pour de tels travaux. »

Bien que Heimdahl n'ait pas abordé ce point, le document a été retiré. Dans une note publique, Wu et Lu, mais pas Pakki, ont écrit: « Nous souhaitons retirer notre article « Sur la faisabilité de Introduire furtivement des vulnérabilités dans les logiciels open source via des engagements hypocrites" tiré de la publication dans le 42e Symposium IEEE sur la sécurité et la confidentialité." Le le papier avait déjà été accepté par cette conférence de haut niveau.


Ils le retirent pour deux raisons:

Premièrement, nous avons commis une erreur en ne collaborant pas avec la communauté du noyau Linux avant de mener notre étude. Nous comprenons maintenant qu'il était inapproprié et préjudiciable pour la communauté d'en faire un sujet de nos recherches et de gaspiller ses efforts à examiner ces correctifs à son insu ou sans sa permission. Au lieu de cela, nous réalisons maintenant que la manière appropriée d'effectuer ce type de travail est de collaborer au préalable avec les dirigeants communautaires afin qu'ils sont conscients du travail, approuvent ses objectifs et ses méthodes et peuvent soutenir les méthodes et les résultats une fois le travail terminé et publié. C’est pourquoi nous retirons ce document afin de ne pas bénéficier d’une étude mal menée.

Deuxièmement, étant donné les défauts de nos méthodes, nous ne voulons pas que cet article serve de modèle sur la manière dont la recherche peut être menée dans cette communauté. Au contraire, nous espérons que cet épisode sera un moment d’apprentissage pour notre communauté et que les discussions et recommandations qui en résulteront pourront servir de guide pour des recherches appropriées à l’avenir. Par conséquent, nous retirons cet article pour éviter que notre méthode de recherche erronée ne soit considérée comme un modèle sur la manière de mener des études à l’avenir. Nous nous excusons sincèrement pour tout préjudice que notre groupe de recherche a causé à la communauté du noyau Linux, au réputation du Symposium IEEE sur la sécurité et la confidentialité, de notre département et de notre université, ainsi que de notre communauté dans son ensemble.

Entre la note de Heimdahl et cette lettre publique, il apparaît que l'UMN a accédé aux principales demandes de la Linux Foundation. Il reste encore de petits détails à régler, mais il semble désormais que l'UMN, la Linux Foundation et la communauté des développeurs du noyau Linux devraient rapidement parvenir à un accord. Cela fait, l'UMN peut recommencer à faire des recherches et les responsables peuvent recommencer à faire leur véritable travail d'amélioration du noyau plutôt que de rechercher des correctifs potentiellement faux.

Histoires connexes :

  • Les demandes de la Linux Foundation à l'Université du Minnesota pour son mauvais projet de sécurité des correctifs Linux
  • Des chercheurs en sécurité de l'Université du Minnesota s'excusent pour les correctifs Linux délibérément bogués
  • Greg Kroah-Hartman interdit à l'Université du Minnesota de développer Linux à cause de correctifs délibérément bogués