A Minnesotai Egyetem kutatóinak egy csoportja, amelynek változásait Greg Croah-Hartman nemrégiben blokkolta, nyílt levelet tett közzé, amelyben bocsánatot kért, és elmagyarázta tevékenységük indítékait. Emlékezzünk vissza, hogy a csoport a beérkező javítások áttekintésének gyengeségeit kutatta, és felmérte a kernel rejtett sebezhetőségeit tartalmazó változtatások elősegítésének lehetőségét. Miután az egyik csoporttagtól kapott egy kétes foltot értelmetlen javítással, azt feltételezték, hogy a kutatók ismét kísérleteket próbálnak végezni a kernel fejlesztőivel. Mivel az ilyen kísérletek potenciálisan biztonsági fenyegetést jelenthetnek, és időt vesznek igénybe az elkövetőktől, úgy döntöttek, hogy blokkolják a változtatások elfogadását, és minden korábban elfogadott javítást elküldenek felülvizsgálatra.
Nyílt levelükben a csoport kijelentette, hogy tevékenységüket kizárólag a jó szándék motiválta, valamint az a vágy, hogy a gyenge pontok feltárásával és kezelésével javítsák a változásértékelési folyamatot. A csoport évek óta tanulmányozza azokat a folyamatokat, amelyek sebezhetőséghez vezetnek, és aktívan dolgoznak a Linux kernel sebezhetőségeinek azonosításán és kiküszöbölésén. Az újbóli felülvizsgálatra benyújtott mind a 190 javítás jogos, javítja a meglévő problémákat, és nem tartalmaz szándékos hibákat vagy rejtett sebezhetőségeket.
A rejtett sebezhetőségek népszerűsítéséről szóló riasztó tanulmányt tavaly augusztusban végezték, és három hibajavítás benyújtására korlátozódott, amelyek közül egyik sem került be a kernel kódbázisába. Az ezekkel a javításokkal kapcsolatos tevékenység csak a megbeszélésre korlátozódott, és a javítások előrehaladását leállították abban a szakaszban, mielőtt a módosításokat hozzáadták a Githez. A három problémás javítás kódját még nem adták meg, mivel ez felfedné az első felülvizsgálatot végzők kilétét (az információkat a hibákat nem ismerő fejlesztők hozzájárulása után hozzuk nyilvánosságra).
A kutatás fő forrása nem a saját javításaink, hanem mások kernelhez valaha hozzáadott javításainak elemzése volt, amelyek miatt később sebezhetőségek kerültek felszínre. A University of Minnesota csapatának semmi köze ezeknek a javításoknak a hozzáadásához. Összesen 138 problémás foltot vizsgáltak meg, amelyek hibákhoz vezettek, és mire a vizsgálati eredményeket közzétették, az összes kapcsolódó hibát kijavították, beleértve a vizsgálatot végző csapat részvételét is.
A kutatók sajnálják, hogy nem megfelelő kísérleti módszert alkalmaztak. A hiba az volt, hogy a vizsgálatot engedély megszerzése és a közösség értesítése nélkül végezték el. A rejtett tevékenység indítéka a kísérlet tisztaságának elérésére való törekvés volt, hiszen a bejelentés nem általánosan vonhatta fel a figyelmet a foltokra és azok értékelésére. Bár a cél nem a kernel biztonságának javítása volt, a kutatók mostanra rájöttek, hogy a közösséget tengerimalacként használni nem helyénvaló és etikátlan. Ugyanakkor a kutatók biztosítják, hogy szándékosan soha nem ártanak a közösségnek, és nem engedik meg, hogy a működő kernelkódba új sebezhetőséget vigyenek be.
Ami a tilalom katalizátoraként szolgáló értelmetlen foltot illeti, az nem kapcsolódik a korábbi kutatásokhoz, és egy új projekthez kapcsolódik, amelynek célja, hogy eszközöket hozzon létre az egyéb javítások hozzáadásával megjelenő hibák automatikus észlelésére.
A csoport tagjai jelenleg próbálják megtalálni a módját, hogy visszatérjenek a fejlesztéshez, és javítani kívánják kapcsolatukat a Linux Alapítvánnyal és a fejlesztői közösséggel azáltal, hogy bebizonyítják, hogy hasznosak a kernelbiztonság javításában, és kifejezik azon vágyukat, hogy keményen dolgozzanak a közjóért és visszaszerezzék a bizalmat.
Forrás: opennet.ru