首页 带货 问答 树洞 动物园 女装 随手拍 无聊图 热榜
投稿 @ 2021.04.25 , 10:08 上午
投稿:WS
原文:
https://www.theverge.com/2021/4/22/22398156/university-minnesota-linux-kernal-ban-research在发现来自明尼苏达大学的研究员故意提交有安全缺陷的代码后,一位Linux内核管理员已禁止此学院参与内核开发。
今年早些时候,为了演示怎么绕过审核机制提交潜在的恶意代码,两名来自此学院的研究员发表了一篇论文,详细谈及他们如何向Linux内核,提交有安全缺陷的代码。最近,又一名来自该学院的学生提交了据说是毫无作用的代码,内核维护管理员Greg Kroah-Hartman(同时也是内核创始人之一)已发表声明,呼吁其他内核管理员拒绝来自该学院(明尼苏达大学)邮箱地址(umn.edu)提交的代码。
除了不接受来至自该学院的新代码,所有该学院过去已提交的代码都正在被移除或重新审核。这看起来是个巨大的工作,但是Kroah-Hartman明确地说,开发者社区不喜欢被“作为试验品”,同时所有该学院代码都因为这个研究(指前面‘绕过审核机制提交潜在的恶意代码’的项目)被置于疑问。
明尼苏达大学已声明说,注意到这个研究和它带来的“禁止令”。学院已经停止了这项研究,并正调查此项目是怎么通过审批和开展的。
为了澄清此研究,项目研究人员(‘绕过审核机制提交潜在的恶意代码’的项目)说,他们主要是为了使人们注意到,这个代码提交机制的漏洞,可以让有‘安全缺陷’的代码(包括故意编写的潜在恶意代码)溜过。内核开发者 Laura Abbot在博客中反驳了这种说法,说有缺陷的代码能通过审核,在开源软件社区是早就知道的。一条像是私人信息中,那位提交‘毫无作用’代码的研究人员说,Kroah-Hartman对其代码的指控,是毫无根据的,接近“诽谤”。
现在不清楚引起这次争议的代码(指那个“毫无作用”的代码)是不是此研究(‘绕过审核机制提交潜在的恶意代码’的项目)的一部分。提交代码的人的确是用学院的邮箱地址(umn.edu),但是研究项目的补丁代码是通过随机Gmail地址提交的,而且代码提交者声称这些有缺陷的代码是工具软件生成的。Kroah-Hartman回应说,他发现这不可能是工具软件生成,而且基于这个研究项目的本质,他也不相信这代码是带有善意的。
在开源开发社区,也有一些批评的声音说,Kroah-Hartman的‘禁止令’是反应过度了,会导致被正常补丁代码修正的缺陷(bugs)再次出现。然而,值得提到的是,‘禁止令’是重新审核补丁代码,如果没问题会重新应用。
打赏
赞一个 (3)
PREV : 冷战核试验的遗产:美国蜂蜜中现在仍能检测出铯-137
NEXT : 今日好价 210425
[ 上 ] [ 下 ]
vs2 @ 2021-04-25 10:27:274894667
为了写个内核级别攻击安全漏洞论文给源码贡献个漏洞,核心审核作者差点放进去了,年轻人不讲武德啊。。说好打擂台你居然在赛场放毒气,还不赶你。。。
而且故意找个兼职三哥来up这部分问题代码,一开始就想着卸责吧
[举报]OO [59] XX [5] 吐槽 [0]
唐帅博 @ 2021-04-25 10:29:414894678
就好像研究“人被下毒,就会中毒”一样的道理吗
[举报]OO [35] XX [2] 吐槽 [0]
blue @ 2021-04-25 11:04:064894708
社区那边因为这个源比较可信,所以没仔细审核,然后这边直接一篇论文说审核机制有漏洞甩对方脸上,换了谁都会把这个源封了
[举报]OO [54] XX [1] 吐槽 [0]
324234324 @ 2021-04-25 11:13:274894723
2021了你们还在搞连坐吗
[举报]OO [5] XX [56] 吐槽 [1]
shuiqu @ 2021-04-25 11:16:234894730
这事其实挺值得讨论的(我加的几个tg码农群都有大波讨论)
一边是站开发者的,这种为了写论文故意提交漏洞的行为确实是浪费开发者资源,你们大可不必这么干
一边是站明尼苏达大学,因为这项研究确实表明了合并机制有问题,并不是没有意义的研究,相反开发者这种行为显得有点恼羞成怒
[举报]OO [28] XX [1] 吐槽 [2]
az @ 2021-04-25 11:17:084894733
提交者为 Qiushi Wu 和 Kangjie Lu
[举报]OO [55] XX [1] 吐槽 [0]
esc @ 2021-04-25 11:22:404894743
代码不好好写,偏要当坨钢筋坑蒙拐骗,真以为地球缺了谁就转不动了呢…
[举报]OO [1] XX [6] 吐槽 [0]
林芮 @ 2021-04-25 11:49:204894785
@shuiqu:
我站学院,这明显是机制有漏洞。
[举报]OO [3] XX [28] 吐槽 [1]
=。= @ 2021-04-25 11:56:344894793
一群厨子在做饭,有一个厨子写了一篇名叫“我是如何在饭菜里下毒还不被发现”的文章。
这不吃饱了撑的
[举报]OO [58] XX [7] 吐槽 [0]
风雨 @ 2021-04-25 13:00:144894908
不知道你们怎么想的,我比较喜欢用恶意去揣测别人,被发现了就是实验,没被发现就是只有他们自己掌握的0day漏洞了。
[举报]OO [31] XX [3] 吐槽 [1]
哈哈哈 @ 2021-04-25 13:02:114894912
@林芮: 研究出成果的方式是让学院和社区的合作关系破裂,站队之前先考虑下论文作者的做法有何不妥吧。
[举报]OO [6] XX [0] 吐槽 [0]
kmxz @ 2021-04-25 13:21:374894927
我觉得以两边的视角来看各自都有道理。
这研究确实很有价值,但是内核开发者也确实精力有限,GKH 生气也是合理的。
这研究或许应该有更好的实现方式。
[举报]OO [3] XX [1] 吐槽 [0]
老叶 @ 2021-04-25 13:50:434894954
@=。=: 不高兴,那就换个标题,“食堂供应商极易被某种方式投毒而不被发现”。
[举报]OO [6] XX [0] 吐槽 [0]
换句话说 @ 2021-04-25 14:01:244894962
我个人认为,进行这种层面的攻击没有任何意义,一个不够恰当的上升:根证书分发机构构造有漏洞的证书分发
[举报]OO [1] XX [3] 吐槽 [0]
地鍋朱億 @ 2021-04-25 14:50:304895013
那個惡毒的教授是北大的畢業生
[举报]OO [1] XX [4] 吐槽 [0]
123 @ 2021-04-25 15:36:484895057
无效代码的提交者找到了 微博@带带大师兄
[举报]OO [5] XX [6] 吐槽 [0]
过期咸鱼 @ 2021-04-25 15:44:254895063
我站Linux管理员, 就互联网而言,
发现漏洞 , 告知所有者, 才是有道德的做法
[举报]OO [8] XX [1] 吐槽 [0]
megumi @ 2021-04-25 15:49:134895071
确实暴露了开源社区的安全问题。而一个开发者能够据自己的喜好大片连坐封杀,也算不上合适。
[举报]OO [1] XX [8] 吐槽 [0]
谜之秃 @ 2021-04-25 18:03:584895168
哪怕是商业的投入大量资金, 有监管, 也一堆问题呢, 天天更新.
得考虑现实, 没这么多的资源投入在安全上.
如果不投入资源, 就得让用户(开发者)承担.
[举报]OO [0] XX [0] 吐槽 [0]
笑傲jandan @ 2021-04-25 19:25:204895248
研究者有个问题是用学校的邮箱背书,门槛就少一半了
有种做研究用其它邮箱啊,你看看会不会被审核
[举报]OO [6] XX [0] 吐槽 [0]
forvord @ 2021-04-25 19:36:244895267
类似钓鱼执法,不讲武德
[举报]OO [0] XX [0] 吐槽 [0]
g @ 2021-04-25 22:35:494895422
以前看到过有人给开源项目提交的代码类似于把“注释”改为“一个注释”这样刷存在感刷履历的。所以说靠这种投机获得好处的人肯定还有不少。
既然是发的论文,那说明还是挺有好处的。毕竟会把问题暴露出来,然后提高大家的警惕。
讨论到最后的结果我觉得会和白帽子找网站漏洞要不要严惩一样不会有结束。
[举报]OO [0] XX [0] 吐槽 [0]
[ 上 ] [ IMG ]
称呼:
邮箱:
猛击发送
Related Posts
由于避孕,无神论者正在衰亡
Darpa的充气机械臂,能举起自身4倍重量
无厘头研究:晚睡真的会让你失忆
抗菌肥皂?其实和普通肥皂没差别
蜜蜂更喜欢喷了农药的花
无厘头研究:倒挂多久后人会死
如何预测戒烟后的体重增长
纯素食主义者如何处理阴虱?
(C) 煎蛋 - 地球上没有新鲜事
鄂ICP备11008023号-1 · 鄂公网安备42018502002747号
网信办违法和不良信息举报中心 · 煎蛋举报中心
举报电话 13125131232 · 举报邮箱 jubao@jandan.com
--
FROM 202.193.15.*