ProHoster > وبلاگ > اخبار اینترنتی > تیمی از دانشگاه مینه‌سوتا انگیزه‌های پشت آزمایش‌هایی با کامیت‌های مشکوک کرنل را توضیح داد. Linux

تیمی از دانشگاه مینه‌سوتا انگیزه‌های پشت آزمایش‌هایی با کامیت‌های مشکوک کرنل را توضیح داد. Linux

گروهی از محققان دانشگاه مینه‌سوتا که اخیراً توسط گرگ کروآ هارتمن مسدود شده بود، نامه‌ای سرگشاده منتشر کردند و در آن عذرخواهی کردند و انگیزه‌های فعالیت‌های خود را توضیح دادند. به یاد بیاوریم که این گروه در حال بررسی نقاط ضعف در بررسی وصله های دریافتی و ارزیابی امکان ارتقاء تغییرات با آسیب پذیری های پنهان در هسته بود. پس از دریافت یک پچ مشکوک با یک اصلاح بی معنی از یکی از اعضای گروه، فرض بر این بود که محققان دوباره در تلاش برای انجام آزمایش بر روی توسعه دهندگان هسته هستند. از آنجایی که چنین آزمایش‌هایی به طور بالقوه یک تهدید امنیتی هستند و زمان زیادی را از committerها می‌گیرند، تصمیم گرفته شد که پذیرش تغییرات را مسدود کرده و همه وصله‌های پذیرفته شده قبلی را برای بررسی مجدد ارسال کنند.

اعضای گروه در نامه سرگشاده خود اظهار داشتند که فعالیت‌هایشان صرفاً با نیت خیر و تمایل به بهبود فرآیند بررسی تغییرات از طریق شناسایی و رفع آسیب‌پذیری‌ها انجام شده است. این گروه سال‌هاست که فرآیندهایی را که منجر به آسیب‌پذیری می‌شوند، مطالعه می‌کند و به طور فعال برای شناسایی و رفع آسیب‌پذیری‌ها در هسته تلاش می‌کند. Linuxگفته می‌شود که تمام ۱۹۰ وصله ارسالی برای بررسی مجدد، قانونی هستند، مشکلات موجود را برطرف می‌کنند و هیچ خطای عمدی یا آسیب‌پذیری پنهانی ندارند.

مطالعه هشداردهنده در مورد ترویج آسیب‌پذیری‌های پنهان در آگوست گذشته انجام شد و به ارائه سه وصله باگ محدود شد که هیچ‌کدام به پایگاه کد هسته راه پیدا نکرد. فعالیت مربوط به این وصله ها فقط به بحث محدود شد و پیشرفت وصله ها در مرحله قبل از اضافه شدن تغییرات به Git متوقف شد. کد سه وصله مشکل‌ساز هنوز ارائه نشده است، زیرا این امر هویت افرادی را که بررسی اولیه را انجام داده‌اند نشان می‌دهد (اطلاعات پس از کسب رضایت از توسعه‌دهندگانی که خطاها را تشخیص نداده‌اند فاش می‌شود).

منبع اصلی تحقیق وصله‌های خود ما نبود، بلکه تجزیه و تحلیل وصله‌های افراد دیگر بود که تا به حال به هسته اضافه شده بود، به همین دلیل آسیب‌پذیری‌ها متعاقبا ظاهر شدند. تیم دانشگاه مینه سوتا هیچ ارتباطی با اضافه شدن این پچ ها ندارد. در مجموع 138 وصله مشکل ساز که منجر به خطا می شد مورد مطالعه قرار گرفت و تا زمان انتشار نتایج مطالعه، تمام خطاهای مرتبط از جمله با مشارکت تیم انجام دهنده مطالعه تصحیح شد.

محققان از این که از یک روش آزمایشی نامناسب استفاده کردند متاسفند. اشتباه این بود که مطالعه بدون کسب مجوز و بدون اطلاع جامعه انجام شد. انگیزه فعالیت پنهان، تمایل به دستیابی به خلوص آزمایش بود، زیرا اعلان می‌توانست توجه ویژه‌ای را به وصله‌ها و ارزیابی آن‌ها جلب کند، نه به صورت کلی. اگرچه هدف بهبود امنیت هسته نبود، اما محققان اکنون دریافتند که استفاده از جامعه به عنوان خوکچه هندی نامناسب و غیراخلاقی است. در عین حال، محققان اطمینان می‌دهند که هرگز عمداً به جامعه آسیب نمی‌رسانند و اجازه نمی‌دهند آسیب‌پذیری‌های جدیدی به کد هسته کار وارد شود.

در مورد وصله بی معنی که به عنوان کاتالیزور ممنوعیت عمل کرد، به تحقیقات قبلی مربوط نمی شود و با پروژه جدیدی با هدف ایجاد ابزارهایی برای تشخیص خودکار خطاهایی که در نتیجه اضافه شدن وصله های دیگر ظاهر می شوند مرتبط است.

اکنون اعضای گروه در تلاشند تا راه‌هایی برای بازگشت به مشارکت در توسعه پیدا کنند و قصد دارند روابط خود را با ... بهبود بخشند. Linux بنیاد و جامعه توسعه‌دهندگان، با اثبات سودمندی خود در بهبود امنیت هسته و ابراز تمایل به تلاش سخت برای خیر عمومی و بازگرداندن اعتماد.

منبع: opennet.ru

خرید هاست قابل اعتماد برای سایت های دارای حفاظت DDoS، سرورهای VPS VDS 🔥 خرید هاستینگ معتبر با محافظت در برابر حملات DDoS، سرورهای VPS و VDS | ProHoster